FreeBSD 메모리 분석툴인 Volafunx 테스트 결과입니다.
1. FreeBSD 메모리 덤프 수행
FreeBSD의 메모리 덤프는 DD 명령을 이용해 /dev/mem 을 덤프하는 방식으로 가능하며 6.4~9.0까지 테스트해본 결과 모두 정상적으로 덤프 수행이 가능하였습니다.
※ 덤프 크기를 지정해주지 않으면 더 이상 저장할 공간이 남지 않을 때까지 덤프가 진행이 되므로 정확한 크기를 지정해주어야합니다.
2. Volafunx 실행
Volafunx는 실행시 메모리 덤프 이미지와 함께 커널 이미지 파일( /boot/kernel/kernel )을 요구합니다.
Volafunx는 프로세스, 커널 모듈, 네트워크, 시스템 콜 후킹 정보 등을 확인할 수 있으며, 프로세스와 커널 모듈 덤프를 지원합니다.
(프로세스 덤프는 페이지 단위로 분할되어 덤프됩니다.)
Volafunx의 각 명령 테스트 결과는 아래와 같습니다.
※ FreeBSD 7 버전의 결과는 FreeBSD 8 버전과 동일합니다.
| FreeBSD 6.4 x86 | FreeBSD 8.3 x86 |
FreeBSD 8.3 x64 |
FreeBSD 9.0 x86 | |
|
프로세스 목록 |
X |
O |
X |
X |
| 커널 모듈 목록 |
O |
O |
X |
O |
| 네트워크 목록 |
O |
O |
X |
X |
| 시스템 콜 후킹 |
O |
O |
X |
O |
| 프로세스 덤프 |
X |
O |
X |
X |
| 커널 모듈 덤프 |
O |
O |
X |
O |
Volafunx는 아직 64bit에 대한 분석을 지원하지 않으며 구버전인 FreeBSD 6.4와 최신버전인 FreeBSD 9.0에서는 일부 명령이 정상 동작하지 않았습니다.
커널 모듈 덤프의 경우, 윈도우 시스템에서 툴 실행시 file open 단계에서 아래와 같은 에러가 발생하며 간단한 소스코드 수정을 통해 정상 동작하도록 해줄 수 있습니다.
현재 Volafunx가 64bit를 지원하지 않고 FreeBSD 7 & 8 이외의 버전에서는 안정성이 떨어져 아직 분석에 활용하기에는 어려울 것으로 보입니다.
'보안 > 포렌식' 카테고리의 다른 글
| AIX 메모리 덤프 생성 & 분석 (0) | 2013.01.07 |
|---|---|
| 솔라리스 메모리 덤프 생성 & 분석 (0) | 2012.10.08 |
| Volatility Linux Profile 생성 (1) | 2012.09.17 |
| Windows 메모리 덤프 생성 및 분석 (0) | 2012.08.08 |
| Windows 레지스트리 분석 (0) | 2012.07.31 |
