1. 개요1.1 프로세스 및 네트워크 분석의 중요성메모리 포렌식에서 프로세스 및 네트워크 활동을 분석하면 악성코드 및 침해 사고 징후를 파악 가능실행 중인 프로세스를 추적하여 악성 코드 감염 여부 및 숨겨진 프로세스 확인네트워크 연결을 분석하여 악성 C2(Command and Control) 서버와의 통신 여부 탐지Volatility 등의 도구를 사용하여 프로세스 및 네트워크 데이터를 추출 및 분석 가능 2. 실습 환경 구축2.1 필요 도구 및 환경분석 도구: Volatility3, Wireshark (네트워크 분석용)메모리 덤프 파일: 이전 실습에서 생성한 덤프 파일 활용운영체제: Windows/Linux/macOS 환경에서 실행 가능2.2 Volatility3 설치 및 기본 설정Volatility3 ..

1. 환경 설정1.1 Ubuntu 22.04에서 Volatility 설치sudo snap install volatility-phocean 명령어를 실행하여 설치설치 후 정상적으로 실행되는지 확인 2. Volatility 핵심 개념2.1 VTypeVolatility의 구조체 정의와 해석을 담당하는 데이터 구조운영체제와 애플리케이션은 대부분 C 언어로 작성되지만, Volatility는 Python 기반이므로 별도의 데이터 구조 표현 필요메모리 덤프 분석 시 구조체 인스턴스를 매핑하여 해석 (ver.2 기준)디버깅 심볼(PDB)을 활용하면 보다 효과적인 분석 가능2.1.1 VType 예제C 구조체:struct process { int pid; int parent_pid; char name[10..

1. 개요1.1 메모리 덤프 생성 환경의 중요성메모리 포렌식에서 가장 중요한 첫 단계는 메모리 덤프를 정확하고 안전하게 추출하는 것메모리 덤프 수집 방식에 따라 데이터 무결성이 달라질 수 있으므로 적절한 환경 구축이 필수운영체제 및 대상 시스템에 맞는 수집 방법을 선택해야 하며, 분석을 위한 보안 환경을 고려해야 함1.2 메모리 덤프 생성 환경 준비실습 대상 운영체제: Windows, Linux, macOS메모리 덤프 도구 설치덤프 저장을 위한 충분한 디스크 공간 확보관리 권한 확보 (Admin/root 필요)실습을 위한 가상화 환경 구축 (선택사항) 2. 메모리 덤프 생성 환경 구축 단계2.1 Windows 환경에서의 메모리 덤프 생성2.1.1 FTK Imager 사용 (GUI 기반)FTK Imager..

1. 개요1.1 메모리 포렌식이란?메모리 포렌식은 주기억장치(RAM)에 남아있는 휘발성 데이터를 분석하는 기법실행 중인 프로세스, 네트워크 연결, 레지스트리, 사용자 활동 정보, 캐시 데이터, 클립보드 정보, 악성코드 감염 여부 확인 가능디스크 기반 포렌식보다 실시간성 데이터 확보 가능하며, 파일리스(Fileless) 악성코드 탐지에 필수적1.2 메모리 포렌식의 필요성네트워크 포렌식에서는 암호화된 데이터의 원본 확보가 어려움 → 메모리 분석이 필수악성코드는 저장 장치에 흔적을 남기지 않는 방향으로 발전 중 → 메모리에서 PE 헤더 및 악성 코드 패턴 확보 필요사고 발생 후 빠르게 메모리를 덤프하지 않으면 기존 데이터가 덮어씌워질 가능성 존재2. 메모리 덤프 방식2.1 형태별 메모리 덤프 방법2.1.1 하..