LF_Part 3-1 : Memoryze + EnCase... 이얍! 백배강화

시리즈 목록
LF_Part 1 : 이제 전원 코드는 함부로 뽑지 마라...
LF_Part 2 : 세계적으로 Live Forensics이 대세(해외 포스트 정리)
LF_Part 3 : Live Forensics 해보기...
LF_Part 3-1 : Memoryze + EnCase... 이얍!

지난번 포스트에 Mandiant Memoryze와 연동 되는 Audit Viewer를 올렸었는데, EnCase에
EnScript로 쉽게 연동되는것도 올라와서 올려본다. 원문은 Mandiant BlogIntegrate EnCase,
Memoryze, and Audit Viewer with MemScript 글을 참조하였다.

아무래도 여러 기관들이 EnCase 의존도가 높다보니, 전에 올린 포스트만 가지고는 마음이
선뜻 안움직이는 분들을 위해 이번 포스트를 준비했다.

EnCase에 익숙하신 분들에게 매우 사용자 푸뤤들리(Friendly)하니 그냥 한번 해보시길 권장한다.
일단 당연히 Memoryze를 설치 하신 상태여야 하고, Audit Viewer도 설치(복사) 해놓아야 한다.
물론, Audit Viewer이 Python으로 GUI 기반으로 작동하기 때문에, wxPython도 설치!
(※ 사전준비: 1.Python, 2.wxPython, 3.Memoryze, 4.Audit Viewer )

준비가 되었다면, 한번 Memoryze를 EnCase에 넣어보자 -_-ㅋ
일단 기본사항으로 EnCase 6.12에서 (6.11버젼 이상부터 저런 화면을 볼수 있을듯?) 메모리를
어떻게 보나 확인해보자.(아래 같은 경우 라이브 상태의 메모리를 지정할수 있다.)


위에서 프로세스를 선택하면 현재 프로세스들을 대상으로 각각 추출도 할수 있다.
일단 여기선 아래처럼 RAM 전체를 선택하고


EnCase의 기본적으로 있는 Memory Analyzer을 돌려봤는데, Responder가 없단다.-_-쳇


대충 봤으니 이번엔 MemScript를 다운 받고, EnCase EnScript 폴더에 넣어놓고
진짜 시험을 해보자. 우선 이전에 테스팅 했던 RAM 이미지를 EnCase에 불러온다.

오른쪽 버튼의 New로 추가 하면 된다.

그리고 아까 넣었던 MemScript를 실행하면 다음과 같은 화면이 뜬다.
(나는 EnScript안에 Forensic에 넣어서 해봤다.)

포트도 볼꺼고 핸들도 볼꺼고, 문자열도 볼꺼고~, 적당히 위의 메뉴에서 필요한 부분을
체크하고 다른 탭들도 살펴 보면서 체크하면 된다. 명령어를 외우지 않고도 되니 좀
접근성이 좋다고 할수 있겠다.

Memoryze나 Audit Viewer나 설치 경로가 다르다면, 적절히 지정할수 있다.


다 선택후 확인을 누르게 되면 다음과 같이 아무것도 없는 cmd 창이 하나 뜨고, 잠시간
기다려주면, (메모리 크기따라 차이가 있다.) 그 아래 처럼 Audit Viewer창이 뜬다.

몇번 봤다고 금색 익숙해진 화면...ㅋ

마찬가지로 이제 이리저리 필요한 부분을 돌려가며 확인하면 된다. 아래는 Port에 대해
확인하고 있는 모습, MemScript 실행시, Port를 체크 안하면 여기 아무것도 안나온다-_-
연습삼아, 자신의 RAM을 대상으로 한번 해보시는 것도 좋을듯? 단 4GB 이상이면, 꽤
걸린다는 사실을 유의 하자-_-;;ㅋ(바로 그 시간에 Memoryze 설명서를 보면 된다!)


뭐 단순히 파이프 역활을 해주는 스크립트지만, 확실히 처음 접근할때 거부감을 줄여 줄 수
있을것 같다. 우선 이렇게 시작해서 흥미를 가지고 향후에 volatility도 접해보는 것도 좋을
듯 하다. 너무 사용자 푸뤤들리해서 올릴까 말까 고민하다, 역시 이런것 부터 많이 알려져야
더 빠르게 퍼질것 같아 올린다. 너무 다들 아는 내용을 과포장해서 올리는건가? - _-ㅋ
뭐 이건 어디까지나 고수들을 위한 포스트가 아니라 나같이 열공 하고 있는 일반인들을 위한
포스트니깐 :) 몇명은 도움이 되겠지...=_=

핑백

덧글

  • 오홍 2013/03/14 09:38 # 삭제

    글 잘 보고 갑니다 ^ ^.
  • 2014/03/06 16:41 # 삭제 비공개

    비공개 덧글입니다.


간단 메모














구글리더공유

내 전자서재


encykei[at]gmail[dot]com