FreeBSD 메모리 분석툴인 Volafunx 테스트 결과입니다.
1. FreeBSD 메모리 덤프 수행
FreeBSD의 메모리 덤프는 DD 명령을 이용해 /dev/mem 을 덤프하는 방식으로 가능하며 6.4~9.0까지 테스트해본 결과 모두 정상적으로 덤프 수행이 가능하였습니다.
※ 덤프 크기를 지정해주지 않으면 더 이상 저장할 공간이 남지 않을 때까지 덤프가 진행이 되므로 정확한 크기를 지정해주어야합니다.
2. Volafunx 실행
Volafunx는 실행시 메모리 덤프 이미지와 함께 커널 이미지 파일( /boot/kernel/kernel )을 요구합니다.
Volafunx는 프로세스, 커널 모듈, 네트워크, 시스템 콜 후킹 정보 등을 확인할 수 있으며, 프로세스와 커널 모듈 덤프를 지원합니다.
(프로세스 덤프는 페이지 단위로 분할되어 덤프됩니다.)
Volafunx의 각 명령 테스트 결과는 아래와 같습니다.
※ FreeBSD 7 버전의 결과는 FreeBSD 8 버전과 동일합니다.
| FreeBSD 6.4 x86 | FreeBSD 8.3 x86 |
FreeBSD 8.3 x64 |
FreeBSD 9.0 x86 | |
|
프로세스 목록 |
X |
O |
X |
X |
| 커널 모듈 목록 |
O |
O |
X |
O |
| 네트워크 목록 |
O |
O |
X |
X |
| 시스템 콜 후킹 |
O |
O |
X |
O |
| 프로세스 덤프 |
X |
O |
X |
X |
| 커널 모듈 덤프 |
O |
O |
X |
O |
Volafunx는 아직 64bit에 대한 분석을 지원하지 않으며 구버전인 FreeBSD 6.4와 최신버전인 FreeBSD 9.0에서는 일부 명령이 정상 동작하지 않았습니다.
자세히 – 열기
FreeBSD 6 덤프 이미지에서 프로세스 목록을 확인 & 덤프를 시도하면 아래와 같이 아무런 프로세스 목록도 출력이 되지 않습니다.
64bit 덤프 이미지는 volafunx가 아직 지원하지 않아 커널 심볼 정보를 불러오는 도중 에러가 발생하여 동작을 하지 않습니다.
FreeBSD 9 덤프 이미지에서 프로세스 목록을 출력하려고 하면 아래와 같은 에러가 발생하며 프로세스 덤프 또한 동작하지 않습니다.
네트워크 정보 확인시에는 위와 같은 에러는 발생하지 않으나 아무런 정보가 출력되지 않습니다.
커널 모듈 덤프의 경우, 윈도우 시스템에서 툴 실행시 file open 단계에서 아래와 같은 에러가 발생하며 간단한 소스코드 수정을 통해 정상 동작하도록 해줄 수 있습니다.
현재 Volafunx가 64bit를 지원하지 않고 FreeBSD 7 & 8 이외의 버전에서는 안정성이 떨어져 아직 분석에 활용하기에는 어려울 것으로 보입니다.