[Volatility] Volatility3 2.28.0 release

◎ 배경 및 개요

• Volatility 3는 2019년에 시작된 완전 리팩터링 프로젝트로, Python 3 기반으로 설계되어 다중 코어 처리, 캐시, 자동 OS/커널 감지 등을 내장한 구조를 추구합니다. 
• 이전 버전(2.x)은 파이썬 2 생애 주기 종료와 함께 개발이 중단되었고, 이후 Volatility 3가 표준 프레임워크로 자리 잡게 되었습니다.

 

• 2.28.0 버전은 “Volatility 2와의 기능 동등성”을 완료한 후 등장한 릴리스로, 기존 2.x 사용자들이 크게 불편함 없이 3.x로 전환할 수 있도록 설계 목표가 명확합니다.
• 특히 Windows 최신 버전(Kernel Update, Insider 빌드 등)과 Linux 5.x 이상 환경에 대한 지원을 강화하면서, 실제 Incident Response·침해 분석 현장에서의 활용도를 높이는 데 초점을 두고 있습니다.

 

◎ 주요 변경 사항

 - Volatility 3 2.28.0은 단순히 플러그인을 추가한 수준이 아니라, 프레임워크 내부의 성능·보안·운영성을 모두 개선한 버전입니다. 

대표적인 변경 사항은 다음과 같습니다.

• Intel 레이어의 주소 공간 스캔 개선: Intel-based 가상 메모리 레이어가 더 정확한 페이지 테이블 탐색과 스캔을 지원하여, 메모리 이미지에서 가상 주소를 해석하는 정확도가 올라갔습니다.
• Timeliner 관련 개선: userassist 등 사용자 활동 추적 플러그인의 타임라인 지원이 강화되어, 여러 이벤트를 시계열로 통합·정리하는 작업이 용이해졌습니다.
• Windows 플러그인 보강: modules, modscan, callbacks 등 핵심 Windows 플러그인이 버그 수정과 기능 확장으로 안정성이 높아졌고, Smear 보호 로직이 추가되어 더 깊은 메모리 변형 탐지가 가능합니다.
• Python 3.8+ 필수 조건: 최소 지원 파이썬 버전이 3.8 이상으로 상향되어, 최신 경량 라이브러리와 async/await 스타일 API를 더 자유롭게 사용할 수 있습니다.

 - 전반적으로는 “기존 2.x에서 익숙한 플러그인과 동일한 수준의 결과를, 3.x에서 더 빠르고 안정적으로 얻을 수 있도록” 하는 것이 핵심 방향입니다.

 

◎ 상세 기능 설명

 - Intel 레이어 개선

  > Intel 레이어는 Intel IA‑32, x64 아키텍처 기반 VM·메모리 이미지를 처리하는 내부 계층으로, 페이지 테이블 구조를 바탕으로 가상 주소를 물리 주소로 변환하는 역할을 합니다. 2.28.0에서는 이 레이어의 스캐닝 로직이 개선되어,

• 페이지 테이블에 대한 비정상 포인터(예: 의도적 Smear, 공격자가 덮어쓴 엔트리)를 더 잘 탐지하고 무시하거나 경고하는 방식.
• ASID(주소 공간 ID)와 같은 하위 구조를 보다 정교하게 처리하여, 여러 프로세스·세션을 동시에 분석할 때 오류가 줄어든 점.

  > 이렇게 되면서, 포맨스·무기화·퍼시스턴스까지 이어지는 복잡한 APT 샘플에서도 “올바른 메모리 맵을 보다 순간적으로 재구성”하는 것이 가능해졌습니다.

 

 - Timeliner 및 사용자 활동 플러그인

  > userassist 플러그인은 Windows에서 사용자가 실행한 프로그램, 마지막 실행 시간, 실행 횟수 등을 추적하는 레지스트리/메모리 구조를 기반으로 동작합니다. 2.28.0에서는

• Timeliner 플러그인과의 연동이 강화되어, userassist, shellbags, mru, browser history 등 여러 이벤트를 하나의 타임라인으로 통합하는 것이 더 직관적으로 구현되었습니다.
• 각 이벤트에 대한 타임스탬프 정규화와 타임존 처리가 개선되어, 다국적 공격·다지역 사용자 환경에서도 분석자가 기준 시점을 쉽게 정할 수 있습니다.

  > 이는 “침해 시점(TTP)을 정밀하게 추정”하고, 타임라인 기반 IR 리포트를 작성이 쉬워지는 중요한 변경입니다.

 - Windows 모듈·콜백·Smear 보호

  > windows.modules, windows.modscan, windows.callbacks 등은 윈도우 커널 모듈과 IRP/콜백 훅을 추적하는 핵심 플러그인입니다. 2.28.0에서는

• 모듈 목록 수집(modules), 메모리 스캔 기반 모듈 탐지(modscan)가 더 안정적으로 동작하도록 여러 버그가 수정되었고, 일부 드라이버/스크래치 모드에서도 정상적으로 메타데이터를 추출하도록 개선되었습니다.
• 콜백 플러그인은 추가로 지원되는 콜백 타입을 늘려, 악성 rootkit이 훅한 PsSetCreateProcessNotifyRoutine, CmRegisterCallbackEx 등에 대한 탐지 커버리지가 확대되었습니다.
• Smear 보호 기능은, 공격자가 페이지 테이블을 일부 덮어 쓰거나 조작해도, 프레임워크가 이를 의심 영역으로 표시하거나 예외를 던져 분석자가 인지할 수 있도록 설계되었습니다.

  > 이러한 보완은 EDR 우회, 커널 훅, 드라이버 인젝션 등 고급 기술을 쓰는 APT 샘플 분석에서 특히 유용합니다.

 - CLI 및 로깅 편의성 개선

  > 2.28.0에서는 사용자 인터페이스 차원에서도 여러 개선이 포함됩니다.

• 출력 형식·필터링 옵션이 개선되어, 특정 컬럼만 추출하거나 CSV/JSON 등으로 정리하기가 더 직관적입니다.
• -v(verbose) 및 --log 옵션을 통해 로그 수준을 세분화하고, 외부 파일에 전체 로그를 기록할 수 있어, 배치 분석이나 자동화 파이프라인에서 디버깅이 편리합니다.

  > 특히 대량의 메모리 이미지를 자동 분석하는 스크립트나 SIEM/타임라인 연계 파이프라인을 구성할 때, 이러한 로깅·출력 개선이 운영 효율을 크게 높여 줍니다.

 

 

◎ 기획 의도와 기술적 개선

 - Volatility 3 2.x 시리즈 전체의 기획 의도는 크게 세 가지로 정리할 수 있습니다.

• Volatility 2와의 기능 동등성 달성: 기존 사용자에게 “3.0으로 가면 기능이 줄어든다”는 심리적 저항을 최소화하고, 2.x에서 지원하던 핵심 플러그인을 3.x에서도 동일하거나 더 나은 수준으로 제공하는 것.
• 신규 기능과 최신 OS/커널 지원: Windows 11, WSL2, Linux 5.x 이상, 컨테이너 환경 등 최신 플랫폼에 맞는 플러그인·심볼 테이블을 지속 추가해, 실제 현업에서 겪는 환경을 바로 분석할 수 있도록 하는 것.
• 운용·자동화 편의성 향상: 자동 프로파일/심볼 감지, CLI 개선, 파일 추출 표준화(-o, --dump), 배치·타임라인 연계 등을 강화해, IR/DFIR 팀이 반복적인 메모리 분석을 자동화·표준화할 수 있도록 하는 것.

 - 2.28.0은 위 세 축을 모두 보완한 릴리스로, 특히 다음을 목표로 합니다.

• 정확성: Intel 레이어와 Timeliner 개선으로, 메모리 구조와 타임라인을 “더 정확하게” 재구성하고, 잘못된 주소 해석으로 인한 오분석을 줄이는 것.
• 성능: 캐시 및 멀티프로세싱 기반으로, 여러 이미지를 동시에 분석할 때도 응답 시간이 급격히 증가하지 않도록 하는 것.
• 안정성: 하위 API 변경을 최소화하고, 2.x 사용자에게 익숙한 인터페이스를 유지하면서도 내부 구조를 현대화하는 것.

 

 - 기술적으로는 2.28.0이 다음과 같은 구조적 개선을 담고 있습니다.

• API 버전 관리: API_CHANGES.md에 따라, 기존 API에 대한 변경이 있으면 버전 번호를 명확히 관리해, 커스텀 플러그인 개발자가 변경 사항을 쉽게 추적할 수 있습니다.
• 심볼 테이블 및 ISF 캐시 통합: Windows PDB, Linux vmlinux, macOS symbol table 등 다양한 심볼 원천을 공통 캐시 구조로 관리해, 여러 이미지·세션에서 동일한 심볼을 재사용하도록 설계합니다.
• 플러그인 버전·의존성 관리: 서로 다른 플러그인이 호환되는지 버전 요구사항을 체크하는 테스트 프레임워크를 도입해, 하위 버전과의 혼용으로 인한 런타임 오류를 줄입니다.

 

◎ 사용 방법 및 기본 가이드

 - Volatility 3 2.28.0은 pip 설치 또는 GitHub 소스 기반으로 사용할 수 있습니다. 아래는 대표적인 워크플로를 존칭으로 정리한 예시입니다.

 

  > 설치 및 환경 구성

• Python 3.8 이상 환경을 준비합니다.
• 다음과 같이 최신 2.28.0 버전을 설치합니다.

pip install volatility3==2.28.0

   >> 또는 GitHub에서 직접 가져와도 됩니다.

 

• Windows 심볼 테이블을 다운로드하고, Volatility의 symbols 디렉터리에 압축을 풉니다.

wget https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip mkdir -p ~/.local/share/volatility3/symbols unzip windows.zip -d ~/.local/share/volatility3/symbols

  >> 이후 vol.py 명령으로 플러그인을 실행할 수 있습니다.

 - 기본 분석 예시

 > Windows 메모리 이미지에 대해 다음 단계로 분석을 시작할 수 있습니다.

• OS 정보 확인

python3 vol.py -f <image_path> windows.info.Info

   >> 이 명령은 자동으로 OS/커널 버전, 빌드 번호 등을 감지합니다.

 

• 프로세스·DLL·모듈 확인

python3 vol.py -f <image_path> windows.psscan.PsScan python3 vol.py -f <image_path> windows.dlllist.DllList python3 vol.py -f <image_path> windows.modules.Modules

   >> 이렇게 하면, 의심 스레드·DLL, 드라이버, 모듈 인제션 등에 대한 단서를 한 번에 정리할 수 있습니다.

 

• 타임라인 추적

python3 vol.py -f <image_path> timeliner.Timeliner

   >> 또는 개별 플러그인 결과를 결합해 타임라인을 구축합니다.

 

• 파일 추출 및 로깅

python3 vol.py -f <image_path> -o /tmp/dump --dump windows.pslist.PsList

   >> -o 옵션으로 출력 디렉터리를 지정하고, --dump 옵션으로 파일을 추출할 수 있습니다.

 

 - 고급 활용 팁

• 대량 이미지 자동 분석: timeliner + userassist, mru, mftscan 등 여러 플러그인을 하나의 스크립트로 묶어, 여러 이미지에 대해 일괄적으로 타임라인 CSV를 생성할 수 있습니다.
• 커스텀 필터링: grep, jq 등과 함께 CLI 출력을 파이프로 연결해, 특정 프로세스 이름·포트·IP만 필터링하는 리포트를 자동 생성할 수 있습니다.

 

◎ 기대 효과 및 주의사항

 - 기대 효과
  > Volatility 3 2.28.0을 도입하면 다음 효과를 기대할 수 있습니다.

• 정확도 향상: Intel 레이어 개선과 Smear 보호 덕분에, 메모리 구조 파훼·조작이 있는 샘플에서도 핵심 정보를 보다 정확하게 추출할 수 있습니다.
• 분석 시간 단축: 캐시·멀티프로세싱, 자동 OS/심볼 감지 덕분에, 첫 회차 분석 이후에는 동일 환경 이미지에 대한 플러그인 실행이 빨라집니다.
• 운용 표준화: CLI 출력·파일 추출·로그 표준화로 인해, 여러 팀원이 동일한 형식의 리포트를 자동 생성·공유할 수 있게 됩니다.

 

  > 특히 대규모 IR·EDR 포렌식·메모리 분석 거버넌스를 구축하는 조직에서는, 2.28.0을 기준으로 플러그인 구성·스크립트를 표준화하는 것이 유리합니다.

 

 - 주의사항

• 파이썬 버전 호환성: 최소 3.8 이상이 필요하므로, 구형 Linux 환경에서는 파이썬 3.8+를 별도로 준비해야 합니다.
• 심볼 테이블 관리: 최신 Windows Insider 빌드나 커스텀 커널의 경우, 공식 심볼이 없을 수 있습니다.