kpcrscan
์ด๋ Finding Object Roots in Vista ์ ๋ฌ์ฌ๋ ๊ฒ์ฒ๋ผ ์์ฒด์ฐธ์กฐ ๋ฉค๋ฒ๋ค์ ์ฒดํฌํจ์ผ๋ก์จ ์ ์ฌ์ KPCR ๊ตฌ์กฐ๋ค์ ์ค์บํ๊ธฐ ์ํ์ฌ ์ฌ์ฉ๋๋ ๋ช ๋ น์ด์ด๋ค.
IDT ์ GDT ์ฃผ์, current,idle, ๊ทธ๋ฆฌ๊ณ ๋ค์ ์ฐ๋ ๋๋ค, CPU ์ซ์, ๋ฒค๋&์๋, ๊ทธ๋ฆฌ๊ณ CR3 ๊ฐ๋ค์ ํฌํจํ๋ ๊ฐ๊ฐ์ ํ๋ก์ธ์์ ๋ํ ์์ธํ ์ธ๋ถ ์ ๋ณด๋ค์ ๋ํด ์์๋ณด๊ธฐ ์ํด ์ฌ์ฉํ๋ค. ๋ํ ์ด๋ช ๋ น์ด๋ฅผ ์ฌ์ฉํ๊ธฐ ์ํด profile์ด๋ ๋ช ๋ น์ด๋ฅผ ์ฌ์ฉํด์ผํ๋๋ฐ. profile ์ imageinfo๋ช ๋ น์ด๋ฅผ ์ด์ฉํ์ฌ ์์์๋ค.
pslist
์ด ๋ช ๋ น์ด๋ ์์คํ ์ ํ๋ก์ธ์ค๋ค์ ๋ณด์ฌ์ค๋ค. PsActiveProcessHead ๋ฅผ ๊ฐ๋ฆฌํค๋ ์ด์ค์ฐ๊ฒฐ๋ฆฌ์คํธ๋ฅผ ์ง๋๊ฐ๋ฉฐ ์คํ์ , ํ๋ก์ธ์ค ์ด๋ฆ, ํ๋ก์ธ์ค ID, ๋ถ๋ชจ ํ๋ก์ธ์ค ID, ์ฐ๋ ๋์ ์, ํธ๋ค์ ์, ํ๋ก์ธ์ค ์์ ์๊ฐ๊ณผ ์ข ๋ฃ ์๊ฐ์ ๋ณด์ฌ ์ค๋ค
์ด ๋ช ๋ น์ด ๋ํ profile ๋ช ๋ น์ด๊ฐ ๋ค์ด๊ฐ์ผ ํ๋ค.(์ด๋ช ๋ น์ด๋ ๋์ด์ง ํ๋ก์ธ์ค๋ฅผ ๋ณด์ฌ์ฃผ์ง ์๋๋ค) => psscan
์ด๋ฌํ ์ ๋ณด๋ฅผ treeํํ๋ก ๋ณด๊ธฐ ์ํด์ ์๋ ๋ช ๋ น์ด๋ pstree์ด๋ค.
ํ๋ก์ธ์ค๊ฐ์๋ dll์ ์์๋ณด๊ธฐ ์ํด ์ฌ์ฉํ๋ ๋ช ๋ น์ด๋ dlllist์ด๋ค.
๋ง๊ทธ๋๋ก ์ด๋ค.
dlldump๋ผ๋ ๋ช ๋ น์ด๊ฐ ์๋ค.
์ด๋ ๋ง๊ทธ๋๋ก dllํ์ผ์ ๋คํํ๋ ๋ช ๋ น์ด์ด๋ค.
์ด ๋ช ๋ น์ด๋ก ์๋์ ์ผ์ ์ํํ ์ ์๋ค.
๋ชจ๋ ํ๋ก์ธ์ค๋ก๋ถํฐ ๋ชจ๋ DLL ์ ๋คํ ๋ฌ๋ค.
ํน์ ํ๋ก์ธ์ค๋ก๋ถํฐ ๋ชจ๋ DLL ์ ๋คํ ๋ฌ๋ค.(--pid=PID ์ฌ์ฉ)
์จ๊ฒจ์ง๊ฑฐ๋ ์ฐ๊ฒฐ์ด ๋์ด์ง ํ๋ก์ธ์ค๋ก๋ถํฐ ๋ชจ๋ DLL ์ ๋คํ ๋ฌ๋ค.(--offset=OFFSET ์ฌ์ฉ)
ํ๋ก์ธ์ค ๋ฉ๋ชจ๋ฆฌ์ ์๋ฌด์์น๋ก๋ถํฐ PE ๋ฅผ ๋คํ ๋ฌ๋ค.(--base=BASEADDR ์ฌ์ฉ) ์ด ์ต์ ์ ์จ๊ฒจ์ง DLL ๋ค์ ์ถ์ถํ๋๋ฐ ์ ์ฉํ๋ค.
๋์๋ฌธ์๊ตฌ๋ถ(--ignore-case ์ฌ์ฉ)๊ณผ ์ ๊ทํํ์(--regex=REGEX ์ฌ์ฉ)์ ๋ง๋ ํ๋ ๋๋ ๊ทธ ์ด์์ DLL ๋ค์ ๋คํ๋ฌ๋ค.
ํน์ ์ถ๋ ฅ ๋๋ ํ ๋ฆฌ๋ฅผ ์ค์ ํ๋ ค๋ฉด, --dump-dir=DIR ๋๋ -d DIR ์ ์ฌ์ฉํ๋ค
DLL ๋ชฉ๋ก์ ์กด์ฌํ์ง ์๋ PE ํ์ผ์ ๋คํ ๋จ๊ธฐ ์ํด ํ๋ก์ธ์ค ๋ฉ๋ชจ๋ฆฌ์ PE ์ base ์ฃผ์๋ฅผ ํน์ ํฉ๋๋ค.
$ python vol.py --profile=Win7SP0x86 -f win7.dmp dlldump --pid=492 -D out --base=0x00680000
๋ํ EPROCESS ์คํ์ ์ ํน์ ์ง์ผ๋ฏ๋กํด์ ์จ๊ฒจ์ง ํ๋ก์ธ์ค์์ ์ํ๋ DLL ์ ์ฐพ์์๋ ์๋ค.
$ python vol.py --profile=Win7SP0x86 -f win7.dmp dlldump -o 0x3e3f64e8 -D out --base=0x00680000
[์ฐธ์กฐ] [แแ ฉแแ กแซแแ ณแ แ ฉแแ ฆแจแแ ณ]Volatility_Command 2.1
'For3nsic > The Art of Memory Forensic' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
๋ฉ๋ชจ๋ฆฌ ํฌ๋ ์์์ volatility ๋ฅผ ์ฌ์ฉํ๋ฉด์ ... :) (0) | 2017.01.10 |
---|---|
volatility ์ฌ์ฉ๋ฒ 3 (0) | 2015.11.19 |
Volatility ์ฌ์ฉ๋ฒ (0) | 2015.11.18 |
Memory Forensic Volatility ์ค์น + ์คํ (0) | 2015.11.18 |
๋ฉ๋ชจ๋ฆฌ ๋ถ์ ์ ์์์ผ ํ ์ฌํญ๋ค (0) | 2015.11.14 |
๋๊ธ