바로사채의 블로그입니다.

1. 두말하면 잔소리 SIFT https://digital-forensics.sans.org/community/downloads SANS508 과정에서 소개받았고 (사실 그전부터 사용했던) 교육후엔 더욱 신나게 사용중임. 아래 링크에 있는것과 교육할때 받는 ova파일은 조금 다름... 강사분이 조금 튜닝을 해주신거라, 가끔 리눅스모르는 사람에게는 강사분의 설정이 도움될거임. 최근에 윈도우즈 버젼의 SIFT도 등장해서 샌드박스 기능이나 외부 위협인텔리젼스랑 연동해서 작업할때도 매우 인상적. 시스템 퍼포먼스만 충분하다면 두개의 머신을 동시에 돌리면, 더이상 연장걱정은 끝 기본적인 리눅스 커맨드에 이미지 마운트, 볼라틸리티 정도를 사용하는 정도지만 리눅스 기본 커맨드 자체가 워낙에 포렌직에 쓰기에 적절하므로...

새로운 메모리 덤프 툴이 생겨났다. (본인만 늦게 찾아낸것이라고 생각하지만...) 아직 사용전이라 모르겠지만, 지금까지 리눅스의 메모리 덤프는 가장 중요한 프로파일의 수집인데, 이게 보통의 경우, 수집대상 시스템에 어떠한 경우로든 시스템에 영향을 주면 안되기에 프로파일을 얻어내자고 뭔가를 하게되면 그 나름대로 리스크가 있었다. 프로파일이란게 직접 떠와도 안먹는(!)경우도 있는데다 기존에 깃헙에 프로파일을 하나씩 돌려보는 거이 부루트포스 공격급의 프로파일 탐색에도 실패하는 경우가 있었기에 프로파일 없이 메모리를 떠보겠다고 AFF4포맷으로 받는 경우도 있지만, 이조차도 가끔 잘 안되는 경우가 있다. 이런저런 시도를 하던중에 이것을 발견.. 조만간 연구좀 해봐야겠다.

메모리 분석에 있어서 가장 최고의 입문서이자 닳고 닳을 때까지 (물론 최신판이 나오면) 봐야 할 책은 바로 이거 아닌가 싶다. 사실 전 직장에서도 큰 형님께서 꼭 읽어보라 강추했지만, 두께의 압박으로, 현장박치기(!)로 승부하겠다는 생각에 클라우드 속에 저장? 만 하고 있는 현실이지만... 늙은 꼰대의 주책처럼 보이겠지만 파일 없는 악성코드라는 건 뭐 요즘 새로 나온 트렌드도 아니고 수년 전부터 그래 왔다. 그러다 보니 메모리 덤프 안 뜨고 분석하라고 하면, 마치 존재하지도 않는 꿈의 1군이 출전하지 않는 일본 축구 경기 같은 느낌의 침해대응이 될 것이라고 자신한다. 메모리 수집되지 않은 채로 분석을 한다는 건 꽤 많은 걸 놓고 시작하는 거라고 본다. 윈도즈 메모리 덤프라면야 아래의 똘똘한 툴을 CLI환..