EnCase

[EnCase] 메모리 포렌식(RAM Forensics) (1)

도깬리 2022. 7. 19. 07:04

안녕하세요. 도깬리 포렌식스 입니다.

오늘 부터 3~4회에 걸쳐 메모리 포렌식(RAM Forensics)에 대해 설명합니다. 디지털 포렌식에서는 매우 드물기는 하지만 메모리 포렌식의 전개 방법도 알아 두시기 권장합니다. 자, 시작할까요?

 

Volatility Framework

휘발성 메모리(RAM)에서 디지털 아티팩츠를 추출해 줍니다.

자유소프트웨어 재단에서 만들었으며, GNU General Public License를 사용한  파이썬(Python)으로 구현한 Freeware 도구들의 집합이라고 할 수 있습니다.

E01/EX01 포맷은 Flat File (.img/DD) 포맷으로 변환해 주어야 합니다.

Volatility Raw 덤프, Flat file만 지원하므로 EnCase 증거 이미지 포맷은 그것들로 바꾸어 주어야 한다는 취지입니다.

사용하기 용이하도록 바탕화면volatility 실행파일과 분석대상 DD 포맷을 위치시킵니다.

CMD 창을 쉽게 사용하기 위해 폴더에서 Shift + 오른 마우스 클릭하여 여기서 명령 창 열기 옵션을 이용합니다.

 

 

VolatilityRainbow table을 사용하여 RAM 덤프 이미지에서 패스워드 추출

RAM 덤프 이미지에서 각각의 하이브와 각 하이브의 오프셋 목록 보기

volatility hivelist -f RAM.dd

 

원하는 하이브에서 NTLM 해시값 보기

volatility hashdump -f RAM.dd -y 0xe1036758 -s 0xe1affb60

 

위 결과값을 텍스트 파일로 저장해 두기

volatility hashdump -f RAM.dd -y 0xe1036758 -s 0xe1affb60 > hashes.txt

-y 옵션 : SYSTEM 하이브의 오프셋을 Volatility에 보여줌

-s 옵션 : SAM 하이브의 오프셋을 Volatility에 보여줌

 

무료 온라인 NTLM 해시 크랙 사이트를 이용하여 패스워드를 알아낸다.(다만, 최근엔 웹사이트 개편으로 더 이상 지원하지 않는 것 같습니다.)

https://www.objectif-securite.ch/en/ophcrack.php

NT 해시 크랙만 지원합니다.

 

 

이미지 정보와 채증시 날짜 및 시간 알아보기

RAM을 덤프할 시점의 이미징 정보(덤프한 시스템의 운영체제, 시스템 시각 등)를 확인합니다.

volatility imageinfo -f RAM.dd

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics