[2주차] 디지털 포렌식 정리

완료 사항

- volatility 설치

- cridex 폴더 생성후 해당 문제 다운로드한뒤 위치시킴.

- GrrCON2015도 동일하게 폴더 생성 후 문제 다운로드.

- 윈도우 터미널 사용법 알아야한다. -> 리눅스 명령어와 동일. 굿굿

- 윈도우 터미널 설치 (마이크로 소프트 스토어에 검색 후 다운로드 진행)

 

메모리: 일종의 프로그램이 올라갈 수 있는 공간. 

 

Volatility

: 메모리의 정보를 볼 수 있는 도구.

 

what is 시스템 환경변수?

: path를 등록함으로써 보다 간편하게 사용가능 (like 단축명령어).

 

프로세스들의 리스트를 출력해 주는 도구.

pslist

: 시간 순서대로 출력.

psscan

: offset 순서대로 출력. - 메모리 덤프파일의 어떤 위치에 존재하는 그 순서대로 출력.

숨김 프로세스를 볼 수 있다.

pstree

: 구조화 되어서 보여짐- 프로세스의 pid와 ppid라는 개념이 있는데. 프로세스가 부모자식관계가 있음. 어떤 프로세스가 어떤 프로세스를 생성하면 생성된 것이 자식 프로세스 생성한 프로세스가 부모 프로세스. 

pid와 ppid를 기반으로 구조화해서 보여줌.

psxview

: pslist, psscan을 한눈에 볼 수 있는 도구. pslist에서는 False라고 뜨고 psscan에서는 True로 뜨는 경우 오 이건 공격자가 의도적으로 바꿔놓은거 아닌가 라는 의심을 할 수 있음.

 

의심스러운 프로세스들의 목록을 만드는게 중요.

프로세스 서비스를 하나하나 검색해본다. 

+ 그러나 악성 프로세스가 다른 프로세스의 이름을 동일하게 사용하는 경우가 있음. 그런 경우는 이름만으로 식별하기 쉽지 않음. 보통 svchost.exe를 악성 프로세스가 가장을 많이 함.

 

adobe : pdf를 읽는 것. -> pdf를 이용한 악성코드 굉장히 많음. 

프로세스를 검색했을 때 pdf관련 프로세스면 의심을 해볼만도 함..

 

빨간 줄 쳐둔 걸 복사해두고 아래 사진과 같이 명령어를 입력해준다.

 

cmdscan

: 메모리 덤프에서 명령어 히스토리를 검색하는 데 사용.

consoles

: 사용자가 실행한 명령어나 입력한 텍스트, 콘솔 창의 상태 등을 확인.

conline

: 프로세스 실행 시 인자값.

filescan

: 메모리 내에 존재하는 모든 파일에 대한 정보

dumpfiles

: reader_sl.exe(의심 파일) 추출 

connections

: 연결된 TCP 통신 출력

의심 파일!

 

 

프록시 덤프 해줄때 악성코드를 윈도우에서 자체적으로 삭제함. -> 보안 기능을 끄고 하자.

 

virustotal에 올렸으나 별 심각한 악성코드 발견X.

예상 시나리오

: reader_sl.exe : 악성 PDF 문서 -> 취약점 -> URL 접속 -> 은행관련 피싱 

 

첫번 째 파일 말고 두번째 파일을 virustotal에 올렸더니 악성코드임을 알 수 있었다.