261개의 포스트

VirtualBox 가상머신의 메모리 덤프 추출 (1)
RAM dump with VirtualBox: via ELF64 coredump

리눅스 시스템의 메모리 분석을 연구하고 있는데, 아무래도 실제 물리적 장비를 사용하기보다는 가상머신을 활용할 수밖에 없다. 실제로도 최근 클라우드 등의 인프라가 대중화되고 있기 때문에 대다수가 가상머신을 활용하고 있을 것이다. 그런데 어차피 가상머신이라면 굳이 실제 물리적으로 장비에 접근해서 덤프를 추출하는 방법보다는 가...

strace로 디버깅하기

strace는 리눅스에서 특정 프로그램(프로세스)의 시스템 콜이나 시그널을 추적하는 동적분석 도구이다. 해당 프로그램에 대한 소스코드가 없는 상황에서는 이렇게 직접 실행해가면서 어떤 변화가 발생하는지를 추적하는 것이 유일한 해법이다. 1. 실행파일 추적하기 가장 기본적인 방법이다. 리눅스에서 ls 명령어를 실행할 때 내부...

메모리 DIFF를 통한 리눅스 악성코드 행위분석
Memory Diff Analysis of Linux malware

흔히들 로카르트의 원리(Locard's exchange principle)라고 불리는 법칙이 있다. 접촉하면 흔적이 남는다는 것이다. Every contact leaves a trace. 이는 법의학의 근간을 이루고 있는 이론이며, 디지털 포렌식에서도 동일하게 적용된다. 리눅스 시스템에서 diff 라는 명령어가 있는데, ...

[TED 리뷰] 사이버범죄는 진정 무엇에서 기인하는 것일까?
[TED Review] Where is cybercrime really coming fro...

Caleb Barlow는 IBM에서 사이버보안 관련 문제를 다루고, 악성 범죄자들의 지하경제를 어떻게 통제할 것인가에 대해 고찰하는 연구자다. 2016년 11월에 방영된 "사이버범죄는 진정 어디로부터 기인하는 것일까?"(Where is cybercrime really coming from?)에 대해 짧게 정리해본다. 원본...

Linux 메모리 분석을 위한 프로파일 생성하기

지난 번 글에서, 리눅스 운영체제 상에서 메모리를 포렌식분석할 때 프로파일이 필요하다는 점을 설명하였다. (참고 : 리눅스 메모리 분석시 프로파일 설정) 기본적으로 볼라틸리티를 설치하면 윈도우 관련 프로파일만 포함되어 있으며, 리눅스 쪽은 직접 구해야 한다. 다행히도 볼라틸리티 개발자들은 Github를 통해 많은 프로파일...

새로운 알림이 없습니다.