메모리 포렌식

메모리 포렌식은 컴퓨터의 메모리 덤프를 법의학적으로 분석하는 것입니다.주요 응용 분야는 컴퓨터 하드 드라이브에 데이터가 남지 않도록 은밀한 고도의 컴퓨터 공격을 조사하는 것입니다.따라서 메모리(RAM)를 분석하여 법의학적 정보를 얻어야 합니다.

역사

제0세대 툴

2004년 이전에는 문자열이나 GREP와 같은 범용 데이터 분석 도구를 사용하여 메모리 포렌식 작업이 임시로 수행되었습니다.이러한 툴은 메모리 포렌식용으로 특별히 작성되지 않았기 때문에 사용하기 어렵습니다.그들은 또한 제한된 정보를 제공한다.일반적으로 메모리 ^[1]덤프에서 텍스트를 추출하는 것이 주된 용도입니다.

많은 운영체제는 커널 개발자 및 최종 사용자에게 디버깅(코어 덤프 또는 블루 스크린 오브 데스) 또는 확장(하이버네이션(컴퓨팅))을 위해 물리 메모리의 스냅샷을 실제로 작성하는 기능을 제공합니다.Microsoft Windows의 경우 Microsoft Windows NT 이후 크래시 덤프와 최대 절전 모드가 존재했습니다.Microsoft 크래시 덤프는 Microsoft WinDbg에 의해 항상 분석 가능하며, 현재 Windows 최대 절전 파일(hiberfil.sys)은 Matthieu Sui가 설계한 MoonSols Windows Memory Toolkit 등의 유틸리티를 사용하여 Microsoft 크래시 덤프에서 변환할 수 있습니다.쳇.

제1세대 툴

2004년 2월, Michael Ford는 SysAdmin ^[2]Magazine의 기사로 보안 조사에 메모리 포렌식을 도입했습니다.그 기사에서 그는 메모리 기반 루트킷의 분석을 시연했다.이 프로세스에서는 기존의 Linux 크래시 유틸리티와 메모리를 법의학적으로 복구 및 분석하기 위해 특별히 개발된2개의 툴, memget과 mempeek를 사용했습니다.

2005년에 DFRWS는 메모리 분석 포렌식 ^[3]챌린지를 발행했습니다.이 문제에 대응하여 메모리 덤프를 분석하도록 특별히 설계된 이 세대의 툴이 더 많이 생성되었습니다.이러한 툴은 운영 체제의 내부 데이터 구조를 알고 있었기 때문에 운영 체제의 프로세스 목록과 프로세스 ^[3]정보를 재구성할 수 있었습니다.

연구 툴로서 의도되고 있지만, operating system 레벨의 메모리 포렌식이 가능하고 실용적이라는 것을 증명했습니다.

제2세대 툴

그 후 몇 가지 메모리 포렌식 도구가 실제 사용을 위해 개발되었습니다.여기에는 Responder PRO, Memoryze, MoonSols Windows Memory Toolkit, winen, Belkasoft Live RAM Capturer 등과 같은 상용 도구와 Volatibility와 같은 오픈 소스 도구가 포함됩니다.Linux 및 Mac OS X 메모리 덤프 분석 등 새로운 기능이 추가되어 상당한 학술 연구가 ^[4][5]이루어지고 있습니다.

Microsoft Windows와 달리 Mac OS X의 관심은 비교적 새로운 것으로, 2010년 Black Hat Briefings 보안 컨퍼런스에서 Matthieu^[6] Suiche에 의해 시작되었습니다.

현재 메모리 포렌식은 사고 ^[7]대응의 표준 컴포넌트입니다.

제3세대 툴

2010년부터 우리는 더 많은 전력 회사 메모리 분석의 시각화 측면에 매튜 Suiche에 의해 마이크로 소프트 블루햇 안전 보장회 브리핑는 기억력에 액세스 하여 가상 기계 자기 성찰할 수 있도록 마이크로 소프트 LiveKd에 새로운 기능 마크 Russinovich[10]에 의해 쓰여진 inspired[9]에 MoonSols LiveCloudKd presented[8] 같은 초점을 맞추고 o. 보기 시작했다f손님 비아이Microsoft WinDbg의 도움을 받아 직접 분석하거나 Microsoft 크래시 덤프 파일 형식의 메모리 덤프를 취득하기 위해 호스트 가상 시스템에서 가상 시스템을 가져옵니다.

레퍼런스