Information Security

메모리 분석을 위한 대표적인 프레임워크 도구 메모리 파일(덤프 파일)에서 휘발성 정보를 획득하기 위해 포렌식 분석에서 활용 윈도우 환경, 유닉스(리눅스) 환경, MAC OS 환경 등 크로스 실행 가능 32비트/64비트 윈도우즈XP, 윈도우즈 2003, 윈도우즈 비스타(Vista), 윈도우즈 7 계열 등 모든 메모리 분석 지원이 되며, 리눅스, 안드로이드, MAC OS 환경 프로파일도 포함 단일 명령 콘솔 모드(Single-command line)과 인터랙티브 명령 콘솔(Interactive volshell) 지원 왜 볼라틸리티 인가? 하나의 응집된 프레임워크 GPLv2 오픈 소스 파이썬으로 작성 윈도우, 리눅스, 맥 분석 시스템에서 실행 확장 및 스크립트가 가능한 애플리케이션 프로그래밍 인터페이스 탁월한..

EPROCESS? 개별 프로세스를 나타내는 거대한 구조체KPROCESS(Kernel Process Block)의 포인터 포함 (프로세스 정보, 생성되는 스레드 정보를 가짐)프로세스 식별 정보프로세스에서 사용하는 메모리 정보PEB 위치 정보를 확인할 수 있으며 커널 모드에 위치 _EPROCESS의 구조체를 확인할 수 있다. KDBG를 통해 _EPROCESS를 찾을 수 있다. KDBG(_KDDEBUGGER_DATA64) 구조체? 크래시나 디버깅 시에 필요한 커널의 정보들을 담은 구조체이 구조체는 아래와 같은 구조의 헤더로 시작패턴 매칭List 변수의 마지막 8바이트가 항상 0으로 채워짐OwnerTage는 KDBG로 세팅Size는 XP일 경우 0x290, Windows 2000의 경우 0x208 BytesVA..