반응형


메모리 포렌식(Memory Forensic) 개요 

컴퓨터 포렌식(computer forensics, 컴퓨터 법의학) 또는 디지털 포렌식은 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 과거에 얻을 수 없었던 증거나 단서들을 제공해 준다는 점에서 획기적인 방법이다. 컴퓨터 포렌식은 사이버 해킹 공격, 사이버 범죄시 범죄자들은 컴퓨터, 이메일, IT 기기, 스마트폰 등의 운영체제, 애플리케이션, 메모리 등에 다양한 전자적 증거를 남기게 되면서, 사이버 범죄자 추적 및 조사에 핵심적인 요소가 되고 있다. <위키피디아>

디지털 포렌식 중에서 메모리를 디지털 포렌식하는 것을 메모리 포렌식이라고 할 수 있겠다. 
메모리는 휘발성 정보로써 전원이 나가면 안에 있는 정보는 없어진다. 휘발성 정보를 추출하는 방법은 메모리 포렌식 이전에 라이브 포렌식(Live Forensic) 또는 라이브 리스폰스(Live Response)가 있는데 메모리 포렌식과 차이점은 아래와 같다.


따라서 Live Response에서 놓쳤을때 메모리 포렌식에서 추출할 수도 있다.



메모리 포렌식중 메모리를 덤프하는 방식에는 여러가지가 있다.

  1. 물리 메모리 덤프 방식
    하드웨어를 이용한 덤프 : FireWire(IEEE 1394)를 이용한 메모리덤프
    장점 : 악성 프로그램에 영향을 받지 않는다. 빠른 메모리 덤프, 무결성 최소화
    단점 : 안전성에 대한 검증이 필요, 간혹 시스템 크래시 발생

  2. 소프트웨어를 이용한 덤프 방식
    DD, MDD, Winen, WIN32(64) DD & DumpIt, Memorize ProDiscovery, HBGary, FastDumpPro등 다양
    장점 : 추가 장치 필요없음, 오픈소스 및 프리웨어가 많음, 상용제품은 원격 덤프 가능
    단점 : 커널 루트킷에 취약, OS 제약을 받음, 수집하는 메모리쪽에 흔적 남음

  3. Crash Dumps
    시스템을 유지에 치명적인 영향을 주는 문제가 발생하였을 때 문제의 원인을 찾기 위해서
    윈도우가 스스로 만드는 메모리 덤프 
    일명 BSoD(Blue Screen of Death)가 발생하였을 때 생성되는 크래시 덤프

    크래시 덤프 종류(http://support.microsoft.com/KB/254649)
    작은 메모리 덤프(64KB) : 윈도우 2000 Pro / XP / Vista 기본 설정
    커널 메모리 덤프 : 윈도우 2003/ 2007 기본 설정
    전체 메모리 덤프 
    윈도우 7의 경우 작은 메모리 덤프가 256kb로 늘어났고 전체 메모리 덤프 옵션이 사라짐
    시스템 -> 고급 -> 시작 및 복구 -> 설정에서 크래시 덤프 설정 정보 확인

  4. Virtual Machine Imaging
    VMware에서 세션이 정지될 경우, 물리 메모리 내용은 .vmem확장자를 가지는 파일에 포함된다. .vmem은 로우 포맷과 
    매우 유사하며 다른 메모리 분석 도구를 통해 분석이 가능하다. 
    악성코드를 가상머신에 올리고 폴더에 보면 .vmem이 생기는데 이것을 사용하면 덤프를 뜰 수 있다.

  5. 절전모드 덤프 (Hibernation)
    Hibernation 기능이란 전력 관리를 보다 효율적으로 하기 위해 절전 상태에 돌입하게  되면 하드 드라이브에 메모리 데이터를 기록한 다음 전력을 차단해 버리는 기능
    기존 전력 관리 방식(RAM에 대한 지속적인 전력 공급)에 비해 Wakeup시 복구 시간이 비교적 오래 걸림.
    하이퍼네이션으로 인한 메모리 덤프 파일은 Full Mem Dmp가 아니며 절전된 즉시 만들어지기때문에 복구가 되고나면 그 상황 당시의 메모리 덤프가 아닌 이전의 메모리 덤프 파일이기때문에 상황에 따라 쓸모가 없어질 수가 있다. 또한 메인보드의 칩셋과 OS에 따라 지원 여부가 달라진다.
    윈도우는 절전 모드(Hibernation)로 들어갈 경우 물리메모리 내용을 압축하여 C:\hiberfil.sys파일로 저장한다.
    부팅 과정에서 hiberfil.sys가 설정되어 있는경우 NTLDR에 의해 메모리로 로드 된 후 이전 상태로 복귀한다.


반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기