잘 알려진 분석도구 이외의 윈도우 메모리 분석 방법

윈도우 메모리 (Physical Memory)를 덤프한 바이너리 파일을 분석해야 한다면 일반적으로 Volatility, ReKall, RedLine 을 떠올릴 것이다. 그러나 이들이 모든 윈도우 버전, 윈도우 빌드 버전을 지원하지는 않기 때문에 툴에 의존성을 낮춰야 할 필요가 있다. 실제 필자는 Windows 10 Enterprise 18362 의 메모리를 분석해야 하는 상황이지만 어느 도구도 해당 버전을 지원하지 못하고 있다.

 

Volatility 의 경우 지원하는 운영체재인 경우에도 profile 이름만으로 분석이 안되는 경우가 발생할 수 있다. 하지만 이런 경우에는 kdbgscan 을 통해 KdCopyDataBlock 값을 확인할 수 있는 경우 --kdbg 옵션을 이용해 문제를 해결이 가능하다.

 

자. 도구들이 지원하지 않는 운영체재의 메모리 분석을 어떻게 할 수 있을까? 분석 목적에 맞는 방법을 선택해보자.

 

1. String Search
   1. 문자열 검색도구는 너무나 다양하다. CLI 버전의 strings, grep
   2. GUI 버전의 010 Editor, X-Ways Forensics 등이 대표적이다.
2. Carving
   1. [PE Carving](https://github.com/Rurik/PE_Carver)
   2. [Evtx Carving](https://github.com/williballenthin/EVTXtract)
   3. bulk-extractor](https://tools.kali.org/forensics/bulk-extractor)