Volatility - Windows Memory Forensic

디지털 포렌식 수사 과정에서 특히 윈도우 운영체제의 특성상 메모리에 많은 정보들을 기록하여 사용하기 때문에 중요한 정보들이 물리적 메모리에 담겨있는 경우가 많다. 예를들어 사용자가 입력한 패스워드 혹은 실행된 프로세스, 윈도우가 보여주지 않는 레지스트리 정보 등... 이렇듯 RAM 에 상주하는 데이터는 휘발성 정보들이기 때문에 시스템이 종료된 후에는 거의 정보를 얻을 수 없다고 보는 것이 맞다. (물론 논문중에는 시스템이 종료된 후 메모리를 급속냉동시켜 일부 데이터를 얻어낼 수 있다고는 하지만 말이다.) 이렇게 휘발성 메모리를 분석하는 것을 라이브 시스템 분석(Live System Analysis) 이라고도 한다.

윈도우 메모리를 다루는 연구가 이미 많은 진척을 보였다. 이 곳에 가면 Volatility 동작 방법에 대해 많은 부분을 공개하고 있다. Volatility 옵션을 살펴보면 우리가 윈도우 메모리를 가지고 분석할 수 있는 것이 어떤 것이 있는지 거의 모든 것을 확인해볼 수 있다(아래 그림 참조). 무료로 배포되고 있는 Volatility 도구는 윈도우 XP 에서만 동작하는 파이선 모듈이다. 다양한 윈도우 버전에서 동작하는 것은 상용으로 구매를 해야하는 것으로 알고 있다.

Volatility Installation

• python 설치, python 2.6 권장 - http://www.python.org/download/
• (첨부된) pycrypto 설치 (옵션)
• Volatility 다운로드 - https://www.volatilesystems.com/default/volatility
• 각종 플러그인 설치 (옵션) - http://www.cc.gatech.edu/~brendan/volatility/

Volatility Major Functions

• dlllist - 각 프로세스에 로드된 모든 DLL 목록을 보여준다.
  ident - 이미지 속성을 식별하기위한 정보를 보여준다.
  pslist - 동작하고 있는 프로세스 목록을 보여준다.
  psscan - EPROCESS 객체를 찾아 프로세스 목록을 보여준다.
  hivelist - HIVE 구조에 있는 레지스트리 목록을 보여준다.
  hivescan - _CMHIVE 객체를 찾아 레지스트리 목록을 보여준다.
  ssdt - SSDT 항목들을 보여준다.

Volatility Screenshot

이 밖에도 구글링을 통해 검색해보면 개발자가 각종 컨퍼런스에서 Volatility 에 대해 발표한 자료들도 어렵지 않게 얻을 수 있다.

pycrypto-2.0.1.win32-py2.6.exe