1. 영남권 정보보호영재교육원
김 동 현
Volatility Plugin 개발
쉽고 빠르게 시작하는
HYSS 2016 / Keynote #5
2. 저작물 인용
저작권법 제 35조의 3 ‘공정이용’ 조항에 따라 교육과 연구 목적으로 이용하고 있습니다.
혹시 문제가 있을 경우, ehdgus9549@smartksia.org 로 연락 주시면 적절한 조치를
취하겠습니다.
발표 자료 배포
미숙한 부분이 존재하는 자료로써 수정 및 검토를 거친 뒤 추후 배포될 예정입니다.
자료와 관련한 문의는 페이스북을 이용해주시기 바랍니다.
3. 김동현
Kim Dong Hyun / Digitalis
영남권 정보보호영재교육원 장학생
Volatility Plugin - “Malcom” 개발
“Windows MBR 분석” 문서 작성
소속 없는 잉여 포렌서 / 고3
4. Step
1. 메모리 포렌식 및 Volatility 소개
2. Plugin 개발 시작하기
3. 개발 과정 돌아보기
4. 결론 및 요약, 소소한 팁
27. #전체적인 기획 과정
1. 타 프로그램의 유용한 기능 선정
• 프로세스 관련 도구 - Process Explorer
• Check Virustotal 기능
2. 유사 플러그인 탐색
• Sebastien Bourdon-Richard Virustotal Plugin
• Maj3sty (이준형) Malscan Plugin
28. #전체적인 기획 과정
3. 해당 플러그인의 개선점 파악
• Volatility 최신 버전에서 플러그인이 구동이 되지 않음
• 불필요한 정보 출력, 복잡한 코드
4. 해결방안 탐색 & 개발 착수
• 최신 버전에 맞게 코드의 구조 및 사용 함수 검토
• 일반 사용자에게 필요한 데이터만 파싱 (Parsing)
54. #최근 진행중인 프로젝트
Volakao Plugin
• 메모리 상에 존재하는 Kakao ID 및 정보 추출
• 카카오톡 PC 버전에 대한 분석 필요
HanScan Plugin
• 열어둔 한글 파일에 대한 취약점 여부 스캔
• Nurilab의 HwpScan2를 참조할 예정
55. #최근 진행중인 프로젝트
• Volatility Cookbook
부제 : 파이썬으로 시작하는 달콤한 메모리 포렌식
라이브 포렌식
윈도우 메모리 구조
Volatility 설치 및 기본 사용법
외부 플러그인 활용법
Volatility 플러그인 제작
해킹 방어 대회 - 메모리 포렌식 문제 풀이
59. 그 멋진 일을 마음만 먹으면
누구나 시작할 수 있답니다.
오늘부터 나만의 Plugin을 만들어보세요!
60. Reference
Forensic Proof (김진국) – 메모리 분석 방안
AhnLab 보안 이슈 – ASEC 장영준 선임 연구원
윈도우 포렌식 실전 가이드 – 고원봉
Windows 구조와 원리 – 정덕영
The Art of Memory Forensic – Michael Hale Ligh
DailySecu 칼럼 – Plainbit 이준형 연구원