Digital Forensics2019. 10. 17. 23:08
반응형

<DFRWS USA 2019> - 2일차

 

 2019. 7. 15. 

Session I : Memory Forensics (메모리 포렌식)

  ◦ 좌 장 : Andrew White (Dell Secureworks)

  ◦ 발표 1

     - 주제 : 윈도우 메모리 포렌식(PTE 검사를 통한 코드인젝션 탐지)
               (원제 : Windows Memory Forensics: Detecting (un)intentionally hidden injected Code by examining Page Table Entries)

     - 발표자 : Frank Block (ERNW)

     - 발표내용

       △ 악성프로그램은 다른 프로세스를 조작하거나 그 존재를 숨기기 위해 코드인젝션 기법을 이용함

       △ 인젝션된 악성코드는 적어도 어느 순간 CPU에 의해 실행됨

       △ 기존 코드인젝션 탐지 도구들로부터 탐지가 불가능한 실행가능한 페이지(executable pages)들의 은닉 기법과 새로운 탐지 기법을 발견함

       △ 연구결과를 메모리 포렌식 프레임워크인 ‘Rekall*’의 플러그인(ptenum) 방식으로 구현함

         * Google에서 메모리포렌식 오픈소스 툴인 ‘Volatility’를 기반 제작함

     - 시사점 : 코드인젝션 탐지 필요시 Rekall 플러그인(ptenum) 활용

paper-windows_memory_forensics_detecting_unintentionally_hidden_injected_code_by_examining_page_table_entries.pdf
0.80MB

 

반응형
Posted by CCIBOMB