그에게 있어 한 사람의 벗은 한 쌍의 귀와 같다.
-Francois Mauriac(F. 모리아크, 1885 ~ 1970), 프랑스 문학가
: 요새 다음 웹툰 미생을 보고 있는데 좋은 글귀라 퍼왔다. 난 아무래도 팀웍이 좀 약한 플레이어인데, 가끔은
훌륭한 팀이 부럽기도 하다.
- 2012/08/05 20:12
- ykei.egloos.com/5664521
- 덧글수 : 5
지난번 올린 스크립트 수정판을 생각보다 빨리 작업했다. 연습할 필요도 있고 기회 날때 해야한단 생각때문에 ㅋ
나머지 2개의 계획은 그냥 버렸다-_-;ㅋ
다운로드는 <여기>
지난번 생각했던 것 중 생각보다 많이 건들였다. 당연히 버그가 있을텐대.. 자주 써봐야겠다.
혹시 쓰시는 분 계시면 오류 좀 알려주세요-_- (기왕이면 버그를 수정해서 주시면 더 좋고....-_-)
1. 기왕이면 volatility plugin으로 만들고 싶은데, 영 엄두가 안난다.2.pid없이 전체 프로세스를 대상으로 추출하게 추가하고3.volatility 옵션도 가능하게 추가하고 싶은데...4. 굳이 그럴필요가 없긴하지만 복사한 파일 시간정보도 유지하고 싶고..5.게다가 아직 리눅스 환경만 테스트해서 윈도우 환경에서도 테스트를 해봐야겠다.
내가 만든것 치곤 파격적으로 옵션을 다양하게 넣어봤다. 공부도 할겸...
하다보니 좀 짜증나는 부분이 파일명 표현이 넘 다양해서 고생함-_-;;
대소문자를 포함해서.. 환경변수도 있고..쩝. 아무튼 다 돌리고 나면 이런식으로 모아준다ㅋ
p.s : 코드는 여전히 지저분하지만 지난번것보단 상식적이다.
- 2012/07/22 14:22
- ykei.egloos.com/5659988
- 덧글수 : 4
개인적으로 현장에서 윈도우 머신을 만나면 필히? 메모리 이미지를 떠와서, 결국 메모리+하드디스크 이미지 정도는
가지고 분석을 시작하는데, 보통 양이 적은? 메모리부터 까기 시작한다. 그러다 분석 방향이 악성프로그램이랑 연관되기
시작하면, 해당 바이너리들을 분석하기 위해 관련 바이너리들 발췌해야 하는데 이것도 꽤나 손이 가서 귀찮아 하던 참에
사무실에 계신 한 고수가 아이디어를 주셔서 급하게 만들었다. 할게 더 많지만 당장 업무할 정도까지만 구현ㅋ
뭐 활용도는 각자 입장따라 다를것 같아서 그냥 활용예나 공유할까 싶다.
다운로드는 <여기>로...
마운트된 디스크 이미지에서 선택 프로세스와 관련된 DLL 파일을 추출한다.사용하기 전에 할일도 있다.
Usage : extract_proc_bin.py [source_dir] [dest_dir] pid1 pid2 ...
Example : python extract_proc_bin.py /mnt/volume /home/user/dump 1240 2302 782
1. 이미지를 마운트 한다.
2. volatility 환경설정을 한다.
3. 관심 pid를 선택해서 추출한다.
□ 활용 예
1. 일단 volatility 환경설정(대상 파일위치, 프로파일 지정)을 해준다.
2. 각자 편한 방법으로 의심 PID를 특정해본다.(굳이 메모리 분석이 아니더라도 좋고...뭐)
3. 관련 디스크 이미지를 마운트한다.
4. 추출할 pid와 복사 대상이 저장될 곳을 지정해서 추출을 시작
아래처럼 추출되는데 이거 가지고 각자 원하는대로 분석하면 됨ㅋ
□ 예정이긴한데 진짜 할지 말지 모르는것들...
1. 기왕이면 volatility plugin으로 만들고 싶은데, 영 엄두가 안난다.2. pid없이 전체 프로세스를 대상으로 추출하게 추가하고3. volatility 옵션도 가능하게 추가하고 싶은데...4. 굳이 그럴필요가 없긴하지만 복사한 파일 시간정보도 유지하고 싶고..5. 게다가 아직 리눅스 환경만 테스트해서 윈도우 환경에서도 테스트를 해봐야겠다.
태그 : 저발칙한바이너리를끌어내라.py
최근 덧글