◎ Windows hibernation files 자세한 내용은 [Windows] 메모리 덤프 형식(Memory Dump Format) 글에서 확인해주세요. [최대절전모드] > 1단계 최대절전모드의 시스템메모리는 일반적으로 c:\hiberfil.sys 파일에 저장됩니다. 최대절전모드를 사용 중인지 모르는 상태에서 종료해야된다면, 관리자권한으로 cmd를 실행한 뒤 아래 명령어로 최대절전모드를 켜고, 컴퓨터를 종료하면 됩니다. > powercfg /h on > shutdown /f /h • powercfg /h on : powercfg는 전원관리 명령어, /h는 hibernate(최대절전모드), on은 설정 켜기입니다. • shutdown /f /h : shutdown은 시스템 종료 명령어, /f는 강제종료..
◎ Windows crach dump 자세한 내용은 [Windows] 메모리 덤프 형식(Memory Dump Format) 글에서 확인해주세요. • Complete 메모리 덤프 • Kernel 메모리 덤프 • Small 메모리 덤프 [크래시 덤프 생성 설정] 설정 - 시스템 - 정보로 이동합니다. 고급 시스템 설정을 선택한 다음 고급 탭을 선택합니다. 시작 및 복구 영역에서 설정을 선택합니다. 디버깅 정보 쓰기에서 원하는 덤프 형식을 지정합니다. 덤프파일 위치는 변경가능합니다. [전체 메모리 덤프] 저장위치 : %SystemRoot%\Memory.dmp [커널 메모리 덤프] 저장위치 : %SystemRoot%\Memory.dmp [작은 메모리 덤프] 저장위치 : %SystemRoot%\Minidump 폴..
◎ RAW memory dump 자세한 내용은 [Windows] 메모리 덤프 형식(Memory Dump Format) 글에서 확인해주세요. • Windd • DumpIt • Magnet Ram Capture • Winpmem • Belkasoft Live RAM Capturer • FTK Imager [Windd] Unix 용 dd의 윈도우 버전이라고 보면 되겠습니다. win32dd(win64dd)는 MoonSols 사의 무료 메모리 덤프 툴입니다. 윈도우 XP, Vista 그리고 Win7 x86, x86_64를 지원합니다. 윈도우 10 22H2는 지원하지 않습니다(BSOD 발생). [DumpIt] win32dd와 win64dd의 기능을 하나로 통합한 MoonSols 사의 무료 메모리 덤프 툴입니다. M..
[Memory Dump 란?] Memory Dump 는 System의 물리 Memory 를 File 형태로 저장하는 방법으로, 해당 File 의 구조는 실제 물리 Memory 구조와 동일합니다. 침해사고 분석 시 침해 시스템에 실시간 분석을 수행하면 해당 명령어로 인해 Memory 의 상태 및 Data 가 변경됩니다. 이는 Memory 로부터 얻을 수 있는 중요한 정보를 놓칠 수 있는 가능성이 존재하므로 분석에 불리하게 작용할 수 있습니다. 이 같은 실시간 분석의 단점으로 인해 침해사고 시점의 휘발성 Data 를 File 로 간직하여 Memory 에 변화를 주지 않으면서 분석을 하기위해 Memory Dump 를 수행합니다. ◎ Windows 에서 Memory Dump Windows 운영체제에서 메모리 덤..
◎ Miscellaneous : 기타 등등 > strings : : line 형식으로 된 주어진 Image와 File에서 해당 문자열을 찾을 수 있는 Process와 Virtual Address를 출력해 주는 명령어입니다. - 해당 명령의 입력은 Sysinternals의 Strings Utility 또는 유사한 Tool 들의 출력(offset:string)이며, 입력 Offset 은 File/Image의 시작 지점의 물리 Offset입니다. - Sysinternals 의 Strings는 Linux/MAC 에서 Wine을 이용하여 사용 가능하며, 이에 대한 출력은 File 형식으로 Volatility에게 Redirect 되어야 합니다. - GNU 의 Strings 명령어를 사용한다면 -td Option을 ..
◎ Malware and Rootkits : 맬웨어와 루트킷 분석 > malfind : 사용자 모드 형태로 은폐되어 있거나 인젝션 된 코드 또는 DLL 정보를 분석하는 명령어입니다. - VAD 태그와 페이지 권한들 같은 문자들을 기반으로 사용자 모드 메모리에 숨겨져 있거나 삽입되어 있는 코드가 DLLs를 찾아냅니다. - CreateRemoteThread -> LoadLibrary로 사용되는 프로세스에 삽입되는 DLLs은 탐지하지 않습니다. 이 기술로 삽입된 DLLs는 숨겨지지 않으며 dlllist에서 이것들을 확인할 수 있습니다. - malfind의 목적은 기본적인 메서드/도구들이 보지 못하는 것을 DLLs의 위치를 찾아내는 것입니다. malfind에 의해 인식되는 메모리 세그먼트의 압축된 복사 파일을 ..
◎ Crash Dumps, Hibernation and Conversion : 크래쉬 덤프, 하이버네이션 정보확인 및 파일변환 > crashinfo : Crash dump header 정보를 출력해주는 명령어입니다. # python vol.py -f image.vmem --profile=Win7SP1x64 crashinfo > hibinfo : Hibernation file 로 부터 정보를 출력해주는 명령어입니다. - Hibernation file 로 부터 Control Register 상태, file 생성시간, 상태, Hibernation 직전의 해당 Windows Version 과 같은 정보를 제공해주는 명령어입니다. # python vol.py -f image.vmem --profile=Win7SP..
◎ Registry : 단지 Registry data를 추출하는데 도움을 줍니다. > hivescan : Memory Dump로부터 CMHIVEs(Registry hives)의 Physical address를 찾아주는 명령어입니다. # python vol.py -f image.vmem --profile=Win7SP1x64 hivescan > hivelist : Memory Dump 로 부터 레지스터 하이브(Registry hives)의 가상 메모리 주소(Virtual address)와 Disk 상의 절대 경로를 알려주는 명령어입니다. - 만약 특정 하이브로부터 값을 표기하기 원한다면, 이 명령어를 실행시켜서 해당 되는 하이브 주소 값을 볼 수 있으며, 이 명령어를 통하여 Windows password를 ..
◎ Networking : 네트워크 정보 > connections : 활성화 상태의 네트워크 연결 정보를 나열합니다. (Windows XP, Windows 2003 Server 만 사용 가능) - 네트워크의 pslist와 비슷합니다. 오프셋은 기본적으로 _TCPT_OBJECT 가상 주소로 출력되지만 물리적인 주소를 얻고 싶다면 -P 명령어를 추가적으로 사용합니다. # python vol.py -f image.vmem --profile=Win7SP1x64 connections # python vol.py -f image.vmem --profile=Win7SP1x64 connections -P > connscan : Pool tag scanning을 통하여 connection 구조체를 찾는 명령어입니다.(W..
◎ Kernel Memory and Objects : 커널 메모리와 오브젝트 분석 > modules : System에 load된 kernel driver들을 보여주는 명령어입니다. - PSLoadedModuleList가 가리키는 LDR_DATA_TABLE_ENTRY를 통해 doubly-linked 형태로 동작하며 hidden/unlinked kernel driver는 출력해 주지 않습니다. - 기본적으로 Virtual address 로 출력하며, Physical address 를 보고 싶다면 -P Option 을 추가하면 됩니다. # python vol.py -f image.vmem --profile=Win7SP1x64 modules # python vol.py -f image.vmem --profile..