메모리 포렌식 기초
시스템이 실행되는 동안에만 존재하는 증거를 분석하여 메모리 포렌식의 기초를 학습합니다. 활성 프로세스, 실시간 네트워크 연결, 평문 비밀번호, 메모리 내 악성코드 아티팩트 등 사고 대응 (Incident Response) 에 있어 가장 가치 있는 데이터 중 일부는 디스크에 유용한 형태로 저장되지 않습니다. 본 과정에서는 메모리를 덤프하고, 신속하게 트리아지 (Triage) 를 수행하며, Volatility 를 사용하여 휘발성 증거를 체계적으로 조사하는 방법을 배웁니다.
왜 중요한가
메모리 포렌식은 활성 상태의 침해 사고를 파악하는 가장 빠른 방법인 경우가 많습니다. 디스크 아티팩트는 침해의 흔적을 보여주지만, RAM 은 현재 무슨 일이 일어나고 있는지, 혹은 덤프 직전에 어떤 일이 발생했는지를 보여줍니다. 이러한 특성 때문에 메모리 분석은 사고 대응 및 악성코드 트리아지에 있어 매우 중요합니다.
본 과정은 실무적인 휘발성 증거 처리에 중점을 둡니다. 학습자는 메모리 이미지를 캡처하고, 명백한 지표를 빠르게 검색한 뒤, Volatility 를 사용하여 심층 분석을 뒷받침할 프로세스 및 네트워크 정보를 추출하게 됩니다.
학습 내용
- 휘발성 증거를 보존하면서 라이브 시스템에서 메모리를 캡처하는 방법
- 간단한 명령줄 도구를 사용하여 원시 메모리에서 신속하게 트리아지를 수행하는 방법
- Volatility 를 사용하여 프로세스, 연결 및 숨겨진 활동을 검사하는 방법
- RAM 에서만 나타날 가능성이 높은 증거 유형 이해
- 보다 명확한 메모리 분석 워크플로우를 통한 실시간 사고 조사
과정 로드맵
- 메모리 추출 (Memory Extraction): 라이브 시스템에서 메모리 이미지를 캡처합니다.
- Strings 를 이용한 메모리 분석: 빠른 트리아지 기법을 사용하여 원시 메모리에서 명백한 지표를 찾아냅니다.
- Volatility 입문: Volatility 플러그인을 적용하여 프로세스 및 네트워크 증거를 검사합니다.
- 실시간 트리아지 챌린지: 활성 사고 상황에서 메모리를 캡처 및 분석하여 숨겨진 악성 활동을 식별합니다.
수강 대상
- 디스크 포렌식에서 실시간 사고 트리아지로 영역을 확장하려는 학습자
- 메모리 분석 워크플로우에 대한 입문이 필요한 사고 대응 담당자
- 악성코드, 숨겨진 프로세스 또는 휘발성 네트워크 활동을 조사하는 보안 분석가
학습 성과
본 과정을 마치면 휘발성 메모리 증거를 캡처 및 검사하고, 의미 있는 프로세스 및 네트워크 지표를 추출하며, 메모리 분석을 활용하여 사고 대응 조사를 강화할 수 있게 됩니다.
