리눅스 메모리 포렌식

1. 메모리 덤프

리눅스는 운영체제의 모든 리소스를 파일 형태로 다룬다. 리눅스에서 메모리 접근은 장치 파일을 통해 이루어진다.

• System Memory – /dev/mem
• Kernel Memory – /dev/kmem

리눅스 메모리 덤프 구조로 대표적인 것은 fmem, LIME 등이 있다.

• fmem
  리눅스 커널 모듈로 모듈을 로드하면 /dev/mem과 동일하게 전체 물리메모리에 접근할 수 있는 제한없는 가상의 /dev/fmem 장치 파일을 생성한다.
  fmem은 다음과 같이 사용할 수 있다.
  
  1. wget http://hysteria.sk/~niekt0/fmem/fmem_current.tgz
  2. tar –xvf fmem_current.tgz
  3. make (compile)
  4. ./run.sh (load LKM)
• LIME
  fmem과 마찬가지로 커널 모듈이고, 최근에 나온 오픈소스이다.
  실제 메모리에 접근하기 보다는 시스템 메모리 공간의 페이지가 할당된 영역을 덤프한다.
  Lime 은 다음과 같이 사용한다.
  
  1. svn checkout http://lime-forensics.googlecode.com/svn/trunk/
  2. make (compile)
  3. insmod lime.ko path=/var/tmp (load LKM)

2. 메모리 분석

메모리를 분석하기 위해서 있는 도구들이 있다. 윈도우와 마찬가지로 volatility를 사용할 수 도 있다.

(1) Foriana 
fmem으로 덤프한 메모리 이미지를 입력으로 받아 프로세스, 모듈, 파일 목록을 추출해준다. 다음은 지원 기능의 일부분이다.

• –list-modules
• –list-processes
• –list-files
• –magic-module
• –magic-process
• –magic-user-process
• –create-process/module-pattern

(2) Volatilitux
Volatilitux는 파이썬 기반의 도구로 ARM, x86, x86 with PAE enabled 아키텍쳐를 지원한다. 최근에 Volatility의 프로그램과 통합되어 진행되고 있다. 지원하는 명령은 다음과 같다.

• pslist
• memmap
• memdmp
• filelist
• filedmp

(3) Second Look®: The Linux Memory Forensic Analysis
Second Look은 메모리 덤프 도구와 함께 덤프 이미지를 분석할 수 있는 도구도 판매하고 있다. 메모리 내의 의심스런 라이브러리나 패턴을 탐지하는 기능도 지원한다.