1. 레지스트리를 활용한 악성코드 탐지1.1 분석의 필요성악성코드는 레지스트리를 조작하여 자동 실행, 프로세스 은폐, 시스템 설정 변경 등의 행위를 수행포렌식 분석에서는 레지스트리 키를 활용하여 악성코드의 실행 흔적 및 지속성 기법을 분석 가능주요 분석 대상은 자동 실행 프로그램, 서비스, 원격 접속 도구(RAT), 네트워크 연결 정보 등1.2 악성코드 탐지 대상 키자동 실행 프로그램: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run윈도우 서비스: HKLM\SYSTEM\CurrentControlSet\Services네트워크 연결 정보: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters최근 실행된 프로그램 기록: ..

1. 레지스트리를 활용한 시스템 및 사용자 분석1.1 분석의 필요성레지스트리는 운영체제와 사용자 활동을 기록하는 중요한 데이터 저장소포렌식 분석에서는 레지스트리를 활용하여 컴퓨터 사용 기록, 로그인 정보, 실행된 프로그램 등을 확인 가능주요 분석 대상은 운영체제 설정, 사용자 계정 정보, 네트워크 연결 기록, 최근 실행 프로그램 등1.2 주요 분석 키시스템 정보: 운영체제 버전, 설치 날짜, 컴퓨터 이름사용자 계정 정보: 로그인 기록, 사용자 프로필네트워크 연결 정보: IP 주소, 무선 네트워크 접속 이력프로그램 실행 기록: 자동 실행 프로그램, 최근 실행된 파일 2. 시스템 기본 정보 분석2.1 운영체제 및 설치 정보운영체제 버전 및 설치 날짜HKLM\SOFTWARE\Microsoft\Windows N..

1. 개요1.1 프로세스 및 네트워크 분석의 중요성메모리 포렌식에서 프로세스 및 네트워크 활동을 분석하면 악성코드 및 침해 사고 징후를 파악 가능실행 중인 프로세스를 추적하여 악성 코드 감염 여부 및 숨겨진 프로세스 확인네트워크 연결을 분석하여 악성 C2(Command and Control) 서버와의 통신 여부 탐지Volatility 등의 도구를 사용하여 프로세스 및 네트워크 데이터를 추출 및 분석 가능 2. 실습 환경 구축2.1 필요 도구 및 환경분석 도구: Volatility3, Wireshark (네트워크 분석용)메모리 덤프 파일: 이전 실습에서 생성한 덤프 파일 활용운영체제: Windows/Linux/macOS 환경에서 실행 가능2.2 Volatility3 설치 및 기본 설정Volatility3 ..

1. 환경 설정1.1 Ubuntu 22.04에서 Volatility 설치sudo snap install volatility-phocean 명령어를 실행하여 설치설치 후 정상적으로 실행되는지 확인 2. Volatility 핵심 개념2.1 VTypeVolatility의 구조체 정의와 해석을 담당하는 데이터 구조운영체제와 애플리케이션은 대부분 C 언어로 작성되지만, Volatility는 Python 기반이므로 별도의 데이터 구조 표현 필요메모리 덤프 분석 시 구조체 인스턴스를 매핑하여 해석 (ver.2 기준)디버깅 심볼(PDB)을 활용하면 보다 효과적인 분석 가능2.1.1 VType 예제C 구조체:struct process { int pid; int parent_pid; char name[10..

1. 개요1.1 메모리 덤프 생성 환경의 중요성메모리 포렌식에서 가장 중요한 첫 단계는 메모리 덤프를 정확하고 안전하게 추출하는 것메모리 덤프 수집 방식에 따라 데이터 무결성이 달라질 수 있으므로 적절한 환경 구축이 필수운영체제 및 대상 시스템에 맞는 수집 방법을 선택해야 하며, 분석을 위한 보안 환경을 고려해야 함1.2 메모리 덤프 생성 환경 준비실습 대상 운영체제: Windows, Linux, macOS메모리 덤프 도구 설치덤프 저장을 위한 충분한 디스크 공간 확보관리 권한 확보 (Admin/root 필요)실습을 위한 가상화 환경 구축 (선택사항) 2. 메모리 덤프 생성 환경 구축 단계2.1 Windows 환경에서의 메모리 덤프 생성2.1.1 FTK Imager 사용 (GUI 기반)FTK Imager..

1. 개요1.1 메모리 포렌식이란?메모리 포렌식은 주기억장치(RAM)에 남아있는 휘발성 데이터를 분석하는 기법실행 중인 프로세스, 네트워크 연결, 레지스트리, 사용자 활동 정보, 캐시 데이터, 클립보드 정보, 악성코드 감염 여부 확인 가능디스크 기반 포렌식보다 실시간성 데이터 확보 가능하며, 파일리스(Fileless) 악성코드 탐지에 필수적1.2 메모리 포렌식의 필요성네트워크 포렌식에서는 암호화된 데이터의 원본 확보가 어려움 → 메모리 분석이 필수악성코드는 저장 장치에 흔적을 남기지 않는 방향으로 발전 중 → 메모리에서 PE 헤더 및 악성 코드 패턴 확보 필요사고 발생 후 빠르게 메모리를 덤프하지 않으면 기존 데이터가 덮어씌워질 가능성 존재2. 메모리 덤프 방식2.1 형태별 메모리 덤프 방법2.1.1 하..

1. 레지스트리 데이터 수집 개요1.1 필요성레지스트리는 윈도우 운영체제에서 시스템 및 사용자 활동의 핵심 정보를 저장하는 공간포렌식 분석에서는 레지스트리를 수집하여 사용자의 활동 기록, 악성코드 실행 여부, 네트워크 연결 정보 등을 분석 가능레지스트리 데이터는 운영체제 동작 중 보호되어 있어 일반적인 파일 복사 방법으로 직접 접근 및 복사가 불가능1.2 고려 사항데이터 무결성 유지: 원본 파일을 수정하지 않고 수집해야 함로그 파일 포함: .LOG1, .LOG2 파일을 함께 수집하여 변경 내역 분석하이브 파일 보호: 운영체제가 실행 중인 상태에서는 하이브 파일이 잠겨 있으므로 우회 방법 필요 2. 레지스트리 데이터 수집 방법FTK Imager를 활용하여 활성 상태의 운영체제에서 특정 파일을 추출 가능수집..

1. 레지스트리 개요레지스트리(Registry)윈도우에서 행해지는 대부분의 작업을 위해 중요한 정보 값을 저장하고 참고하는 공간하나의 파일 시스템처럼 체계적으로 모든 정보를 하나의 저장소에 저장하여 관리운영체제 내에서 작동하는 모든 하드웨어, 소프트웨어, 사용자 정보 및 시스템 구성 요소 등을 담고 있는 데이터베이스(계층 구조)생성 배경초창기 윈도우 : 초기화 파일(.ini)로 각 프로그램이나 운영체제의 설정 정보를 개별적으로 저장 → 시스템 구성이 복잡/많은 애플리케이션 → 시스템 및 사용자에게 심한 부하 → 레지스트리 도입Registry Editor UtilityHive 파일(바이너리)는 접근이 불가하기 때문에 레지스트리 편집기로 맵핑해서 보여줌레지스트리 편집기regedit.exe주로 검색 기능윈도우..