25.04.01
오전 수업
1. 디지털 포렌식
1) 메모리 포렌식
(1) 메모리 포렌식이란?
- 컴퓨터 하드웨어 중 주 기억 장치(RAM)에 남아있는 데이터 흔적을 분석하는 기법
- 프로세스 정보, 네트워크 연결 정보, 악성코드 파일 정보, 시스템 관련 데이터 구조, 사용자 활동 정보 등 확인 가능
- 휘발성이 있어서 전원을 끄면 손실
(2) RAM(Random Access Memorry)
- 소프트웨어 등의 실행시 해당 데어티와 코드를 임시로 RAM에 가져와 CPU가 빠르게 연산을 할 수 있도록 도우며, 프로그램을 종료하거나 전원을 끌 경우, RAM에 저장되어있던 데이터는 삭제
(3) 메모리 정보 수집과 분석 방법
- 활성화된(전원이 켜진 상태의) 컴퓨터에서 메모리에 로드되어있는 프로세스 정보들을 파일로로 저장
- 저장된 덤프파일을 Volatility 등의 메모리 분석 프로그램을 이용하여 분석
2) 시작하기 전
(1) CMD
- 명령 프롬프트(Command Prompt)로 불리며, Windows에서 제공하는 기본 유틸리티
(2) Powershell
- Windows 7부터 기존 cmd보다 더 폭넓은 기능 제공을 위해 제공된 업그레이드 버전
(3) SysInternals Suite
- Windows 환경의 관리, 진단, 문제해결, 모니터링을 할 수 있는 Windows 기반 도구 모음
- 메모리 포렌식에서 Volatility와 함께 주로 사용
https://learn.microsoft.com/en-us/sysinternals/downloads/
Sysinternals Utilities - Sysinternals
Evaluate and find out how to install, deploy, and maintain Windows with Sysinternals utilities.
learn.microsoft.com
SysInternals(시스인터널)
[Sysinternals](https://docs.microsoft.com/en-us/sysinternals/)는 고급 시스템 유틸리티와 정보를 제공한다. ## procexp …
wikidocs.net
(4) Dump
- RAM에 저장되어있는 데이터를 파일로 추출하는 것
(5) Dumpit
- 메모리 덤프 프로그램
https://ssol2-jjanghacker.tistory.com/entry/d - 참고
Window process 정리
정리하기 위한 목적 : Volatility로 프로세스를 분석하다보면 대부분 윈도우 환경에서의 메모리 덤프였다. 매번 다른 메모리 덤프 이미지를 분석하면서도 반복적으로 나오는 윈도우 관련 시스템
ssol2-jjanghacker.tistory.com
3) Memory Dump
(1) Dumpit을 이용한 수집(v1.3.2.20110401 기준)
- Dumpit 프로그램 실행 후 'y'를 입력하여 메모리 덤프 진행
- 추출한 파일은 '*Destination='에 설정된 폴더와 파일명으로 저장
- Dumpit v1.3.2.20110401의 기본 저장 확장자는 .raw
2. 실습
메모장 -> 과일, 색깔, 동물
엑셀 -> 과일, 색깔, 동물
파워포인트 -> 과일, 색깔, 동물
크롬 -> 네이버 -> 검색어 : 포렌식 -> 네이버로그인(아이디:암호)
엣지 -> 네이버 -> 검색어 : 포렌식 -> 네이버로그인(아이디:암호)
카카오톡(종료) -> 카카오톡 실행 -> 로그인(아이디:암호)
3. Volatility
1) 메모리 캡쳐 뜨기
2) Volatility 환경 변수 등록
3) 분석할 메모리 파일 profile 정보 확인
vol.py --save-config config.json -f memdump.mem windows.info
- Volatility V3 명령어
windows.bigpools.BigPools,
windows.callbacks.Callbacks,
windows.cmdline.CmdLine,
windows.crashinfo.Crashinfo,
windows.devicetree.DeviceTree,
windows.dlllist.DllList,
windows.driverirp.DriverIrp,
windows.drivermodule.DriverModule,
windows.driverscan.DriverScan,
windows.dumpfiles.DumpFiles,
windows.envars.Envars,
windows.filescan.FileScan,
windows.getservicesids.GetServiceSIDs,
windows.getsids.GetSIDs,
windows.handles.Handles,
windows.info.Info,
windows.joblinks.JobLinks,
windows.ldrmodules.LdrModules,
windows.malfind.Malfind,
windows.mbrscan.MBRScan,
windows.memmap.Memmap,
windows.modscan.ModScan,
windows.modules.Modules,
windows.mutantscan.MutantScan,
windows.poolscanner.PoolScanner,
windows.privileges.Privs,
windows.pslist.PsList, - 현재 실행중인 프로세스의 목록 출력
windows.psscan.PsScan,
windows.pstree.PsTree,
windows.registry.certificates.Certificates,
windows.registry.hivelist.HiveList,
windows.registry.hivescan.HiveScan,
windows.registry.printkey.PrintKey,
windows.registry.userassist.UserAssist,
windows.sessions.Sessions,
windows.ssdt.SSDT,
windows.statistics.Statistics,
windows.strings.Strings,
windows.symlinkscan.SymlinkScan,
windows.thrdscan.ThrdScan,
windows.truecrypt.Passphrase,
windows.vadinfo.VadInfo,
windows.vadwalk.VadWalk,
windows.virtmap.VirtMapcmd> vol.py -c config.json -f ysw_memdump.mem windows.bigpools.BigPools > bigpools.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.callbacks.Callbacks > callbacks.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.cmdline.CmdLine > cmdline.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.crashinfo.Crashinfo > crashinfo.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.devicetree.DeviceTree > devicetree.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.dlllist.DllList > dlllist.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.driverirp.DriverIrp > driverirp.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.drivermodule.DriverModule > drivermodule.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.driverscan.DriverScan > driverscan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.dumpfiles.DumpFiles > dumpfiles.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.envars.Envars > envars.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.filescan.FileScan > filescan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.getservicesids.GetServiceSIDs > getservicesids.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.getsids.GetSIDs > getsids.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.handles.Handles > handles.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.info.Info > info.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.joblinks.JobLinks > joblinks.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.ldrmodules.LdrModules > ldrmodules.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.malfind.Malfind > malfind.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.mbrscan.MBRScan > mbrscan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.memmap.Memmap > memmap.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.modscan.ModScan > modscan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.modules.Modules > modules.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.mutantscan.MutantScan > mutantscan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.poolscanner.PoolScanner > poolscanner.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.privileges.Privs > privileges.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.psscan.PsScan > psscan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.pstree.PsTree > pstree.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.registry.certificates.Certificates > certificates.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.registry.hivelist.HiveList > hivelist.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.registry.hivescan.HiveScan > hivescan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.registry.printkey.PrintKey > printkey.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.registry.userassist.UserAssist > userassist.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.sessions.Sessions > sessions.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.ssdt.SSDT > ssdt.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.statistics.Statistics > statistics.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.strings.Strings > strings.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.symlinkscan.SymlinkScan > symlinkscan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.thrdscan.ThrdScan > thrdscan.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.truecrypt.Passphrase > truecrypt.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.vadinfo.VadInfo > vadinfo.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.vadwalk.VadWalk > vadwalk.log
cmd> vol.py -c config.json -f ysw_memdump.mem windows.virtmap.VirtMap > virtmap.loghttps://ophcrack.sourceforge.io/tables.php
Ophcrack
Free XP Rainbow tables These tables can be used to crack Windows XP passwords (LM hashes). They CANNOT crack Windows Vista and 7 passwords (NT hashes). XP german (7.4GB) formerly known as german Success rate: 99% Only for passwords that contain at least on
ophcrack.sourceforge.io