Extractor of process files from disk 용기백배

개인적으로 현장에서 윈도우 머신을 만나면 필히? 메모리 이미지를 떠와서, 결국 메모리+하드디스크 이미지 정도는
가지고 분석을 시작하는데, 보통 양이 적은? 메모리부터 까기 시작한다. 그러다 분석 방향이 악성프로그램이랑 연관되기
시작하면, 해당 바이너리들을 분석하기 위해 관련 바이너리들 발췌해야 하는데 이것도 꽤나 손이 가서 귀찮아 하던 참에 
사무실에 계신 한 고수가 아이디어를 주셔서 급하게 만들었다. 할게 더 많지만 당장 업무할 정도까지만 구현ㅋ
뭐 활용도는 각자 입장따라 다를것 같아서 그냥 활용예나 공유할까 싶다.

다운로드는 <여기>로...
마운트된 디스크 이미지에서 선택 프로세스와 관련된 DLL 파일을 추출한다.
Usage : extract_proc_bin.py [source_dir] [dest_dir] pid1 pid2 ...
Example : python extract_proc_bin.py /mnt/volume /home/user/dump 1240 2302 782
사용하기 전에 할일도 있다.
1. 이미지를 마운트 한다.
2. volatility 환경설정을 한다.
3. 관심 pid를 선택해서 추출한다.

□  활용 예
1. 일단 volatility 환경설정(대상 파일위치, 프로파일 지정)을 해준다.


2. 각자 편한 방법으로 의심 PID를 특정해본다.(굳이 메모리 분석이 아니더라도 좋고...뭐)


3. 관련 디스크 이미지를 마운트한다.


4. 추출할 pid와 복사 대상이 저장될 곳을 지정해서 추출을 시작


아래처럼 추출되는데 이거 가지고 각자 원하는대로 분석하면 됨ㅋ

□ 예정이긴한데 진짜 할지 말지 모르는것들...
1. 기왕이면 volatility plugin으로 만들고 싶은데, 영 엄두가 안난다.
2. pid없이 전체 프로세스를 대상으로 추출하게 추가하고
3. volatility 옵션도 가능하게 추가하고 싶은데...
4. 굳이 그럴필요가 없긴하지만 복사한 파일 시간정보도 유지하고 싶고..
5. 게다가 아직 리눅스 환경만 테스트해서 윈도우 환경에서도 테스트를 해봐야겠다.

핑백

  • Pragmatic Forensics : Extracting processes binary 수정판 2012-08-05 20:12:42 #

    ... 지난번 올린 스크립트 수정판을 생각보다 빨리 작업했다. 연습할 필요도 있고 기회 날때 해야한단 생각때문에 ㅋ다운로드는 &lt;여기&gt; 지난번 생각했던 것 중 생각보다 많이 ... more

덧글

  • MaJ3stY 2012/07/23 09:22 # 삭제

    정말 귀차니즘을 해결하는 스크립트네요 ㅋ

    음 근데 .pyc??
  • 용기백배 2012/07/25 08:57 #

    코드가 좀 개판이기도 하고 이런거 돌아다니면 안될꺼 같아서요 ㅋ 좀 다듬어서 다시 올릴려고요-_-ㅋ
  • nees 2013/02/28 01:24 # 삭제

    이는 거대한 에서 아이디어}에 관한 | 관련 |에 대한 |의 주제에} 블로그.
    당신은 만진 일부 쾌적한 포인트 여기.주세요
    모든 방법은 wrinting을 계속 확인할 수 있습니다.
  • Mal-Chin 2013/03/07 15:19 # 삭제

    아직도 게시물은 도 간단한 처음으로 에 대한. 있을까요 님이 길이에게 작은 다음 다음 시간에서?게시물에 대한 | 감사합니다 당신에게 감사합니다.


간단 메모














구글리더공유

내 전자서재


encykei[at]gmail[dot]com