LIME Local Memory Dump에 이어서 원격에서 메모리 덤프 진행을 실습 해보겠다.

실습 환경은 지난 Disk Dump 실습 진행할 때와 동일하게 VM에서 진행한다.

(VM CentOS 7 -> VM Windows 7 지정경로)

실습 과정은 아래와 같다.

1. VM 환경 및 방화벽 설정

2. Netcat 설치

3. Remote Memory Dump

주의 : 저는 링크만 모아서 제공해드리고 있습니다.

해당 사이트를 통해 감염시 책임지지 않으니 링크 점검 후 접속부탁드립니다.

국내 Security News

해외 Security News

리눅스에서 메모리 덤프시 사용되는 Tool인 LIME에 대해서 실습해보겠다.

진행과정은 다음과 같다.

1. LIME 설치 방법

2. Local Memory Dump 실습 과정

3. Remote Memory Dump 실습 과정

오늘은 1,2 번 과정에 대해 실습한다.

수집 된 증거는 'Adding Evidence Items' 기능을 이용하여 분석할 수 있다.

물리적으로 할당되어진 드라이브나 논리적으로 할당된 파티션 내 정보만 분석할 수도 있다.

해당 기능을 이용하여 $LogFile, $MFT, $UsnJrnl등 침해사고 분석에 중요한 파일을 추출할 수 있다.

오늘은 FTKImager를 활용하여 이미지 마운트하는 방법을 실습해보겠다.

이미지 마운트는 침해사고조사 과정에서 수집된 증거 이미지를 드라이브에 마운트하여 분석할때 사용한다.

이미지 마운트 과정을 보여주기 위해 임의로 OS image파일을 사용했지만 실제 진행할때는 직접 수집한 이미지를 마운트하는것을 권한다.

FTKImager Version : 3.4.3.3

FTKImager를 통해 실습한 Disk Dump에 이어서 Memory Dump 실습을 진행한다.

FTKImager Version : 3.4.3.3

오늘 소개할 포렌식 Tool은 FTKImager이다. 해당툴은 실무에서 자주 사용되는 툴로 증거 수집에 있어 매우 유용하다. 뿐만 아니라 덤프된 이미지를 마운트하여 로컬 PC에서 확인할 수 있는 장점이 있다.

먼저 FTKImager를 활용하여 디스크 덤프과정을 실습해보겠다.

FTKImager Version : 3.4.3.3

오늘 소개할 Tool은 고려대학교에서 제작한 윈도우 레지스트리 수집 및 분석 툴이다.

해당 툴은 실제 업무에서도 자주 사용되며 유용한 도구이다.


실습 버전 : REGA v1.5.0.4

참고페이지

https://post.naver.com/viewer/postView.nhn?volumeNo=6830681&memberNo=21532239