침해 사고가 발생해 악성코드 감염이 의심되는 시스템에서 생성한 메모리 덤프 파일을 분석하기 위해서는 다음 같은 6단계의 절차를 이용하여 메모리 분석을 진행할 수 있습니다.
1) 운영체제 분석
- 어떠한 운영체제에서 생성한 Memory Dump인지 분석
2) 프로세스 분석
- 생성한 Memory Dump에서 실행 중이거나 은폐된 Process 및 그와 관련된 정보들을 분석
3) 네트워크 정보
- 생성한 Memory Dump에서 활성화되거나 은폐된 Network 및 그와 관련된 정보를 분석
4) DLL 및 쓰레드 분석
- 특정 Process에서 load한 DLL 정보나 Thread 정보들을 분석
5) String 분석
- 생성한 Memory Dump 전체 또는 Binary 형태로 추출한 Process 및 DLL Memory Dump에서 특정 string 분석
6) 레지스트리 분석
- 생성한 Memory Dump 전체에서 Windows Registry 관련 정보들을 분석
'디지털포렌식&사고대응 > Volatility' 카테고리의 다른 글
| Volatility 볼라틸리티 profiles 생성 (0) | 2018.02.19 |
|---|---|
| Volatility 볼라틸리티 plugins 및 profiles 확인 (0) | 2018.02.19 |
| Volatility 볼라틸리티를 이용한 메모리 정보 추출 (0) | 2017.11.30 |
| Volatility 볼라틸리티 설치 (0) | 2017.04.21 |
| Volatility 볼라틸리티 설치전 요구사항 (0) | 2017.04.19 |