최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기情報保護學會誌 = KIISC review, v.24 no.1, 2014년, pp.39 - 44
강영복 (전남대학교 정보보안협동과정) , 황현욱 (ETRI 부설연구소) , 김기범 (ETRI 부설연구소) , 손기욱 (ETRI 부설연구소) , 노봉남 (전남대학교 전자컴퓨터공학부)
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
VAD 구조체는 무엇을 포함하는가? | 물리 메모리 분석환경에서 프로세스 로드 메모리 영역을 검사하기 위해서는 일반적으로 VAD[5] 구조체 정보를 이용한다. VAD 구조체 는 해당 메모리 영역의 타입과 권한 정보를 포함하고 있다. 메모리 영역의 타입은 힙(Heap)과 이미지(Image) 타입으로 구분되며, 이미지 타입의 경우, 실제 파일 데이터가 로드되어 있다. | |
메모리 포렌식의 장점은? | 기존의 하드디스크 기반의 악성코드 탐지의 문제점을 해결하고자 최근에는 물리 메모리 덤프 데이터를 이용한 악성코드 탐지 연구가 진행되고 있다. 메모리 포렌식을 이용하면 언패킹, 루트킷 탐지, 리버스 엔지니어링 등에 많은 도움이 된다[1]. 또한 메모리 포렌식을 이용하면 메모리 덤프 시점에서 실행중인 프로세스 정보, 네트워크 정보, 레지스트리 정보 등 다양한 정보를 활용할 수 있다는 장점이 있다[2]. 최근엔 컴퓨터가 널리 보급되어 이용되어지고, 대용량 저장장치도 널리 보급되었기 때문에 기존 하드디스크 분석 방법과 유사하게 손쉽게 메모리 덤프이미지를 획득하고 분석이 가능하다. | |
분석 대상 물리 메모리에서 시스템정보를 수집하는 4단계는 무엇인가? | 총 4가지 단계에 따라 분석 대상 물리 메모리에서 시스템정보를 수집할 수 있다. 1단계 과정에서는 분석 대상 물리 메모리의 운영 체제 정보 및 페이지 모드를 판단한다. 분석 대상 물리 메모리의 운영체제 정보 및 페이징 모드를 파악하기 위해서는 KDBG 구조체 정보를 카빙[3] 및 카빙된 구조체 크기 및 내부 플래그 값을 분석한다[4]. 2단계 과정에서는 OS 버전에 따른 커널 구조체를 메모리에서 카빙하는 것이다. 분석된 OS 정보를 바탕으로 버전별 메모리에 저장된 커널 구조체를 카빙을 수행한다. 카빙하는 주요 커널 구조체는 실행중인 프로세스를 관리하는 구조체와 관련된 카빙가능한 모든 구조체를 카빙 한다. 3단계 과정에서는 카빙된 커널 구조체를 이용하여 커널 메모리 영역에 저장된 정보를 추출한다. 커널 드라이버, 커널 모듈, 네트워크 정보 등을 추출할 수 있다. 4단계에서는 유저 메모리영역에 저장된 주요 프로세스를 정보를 추출한다. 유저영역 프로세스에서 실행중인 쓰레드 정보, 로드 모듈 정보, 소켓 정보 등을 추출한다. |
Michael Hale Ligh, Steven Adair, Blake Hartstein, Mathew Richard, "Malware Analyst's Cookbook and DVD", 에이콘 출판사, pp.715-749, May 2012.
Mariusz Burdach, "Finding Digital Evidence In Physical Memory", Black Hat USA, Feb 2006.
Volatility, https://code.google.com/p/volatility/wiki /CommandReference23#kdbgscan, 2013.
James Okolica, Gilbert L. Peterson, "Windows operating systems agnostic memory analysis", DIGITAL INVESTIGATION 7, pp.48-56, May 2010.
Brendan Dolan-Gavitt, "The VAD tree: A process- eye view of physical memory", DIGITAL INVESTIGATION S4, pp.62-64, Jun 2007.
Raashid Bhat, "Code Injectin on Window", Strudent Computer Security 2BE, Sep 2011.
Elia Floio, "When Malware Meets Rootkits", Symantect Security Response, 2005.
Muteb Alzaidi, Ahmed Alasiri, "The Study of SSDT Hook through Comparative Analysis between Live Response and Memory Image", Master of Information Systems Security Research 2012 Convocation, 2013.
Volatility, https://code.google.com/p/volatility/, 2013.
HBGary, http://hbgary.com/products/responder_pro, 2013.
MANDIANT Redline, http://www.mandiant.com/ resources/download/redline, 2013.
MANDIANT Redline, "Redline User Guide", MANDIANT, 2012.
Michael J. Graven, "Finding Evil In Memory", Ninjacon 11, Jun 2011.
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.