메모리 포렌식(Memory Forensic)

메모리 포렌식

메모리 포렌식은 디지털 포렌식에서의 사고 대응(Incident Response) 방안 중에 하나로 가장 먼저 휘발성의 특징을 가지고 있는 메모리에 대해서 정보를 수집하는 것이다.

메모리 포렌식의 필요성

메모리 포렌식은 최근 주목을 받고, 그에 따른 연구가 활발하게 이루어지고 있다. 그 이유는 어떠한 프로그램이 실행될 때 CPU에 의해서 수행되고, CPU는 메모리인 RAM에 데이터가 적재되어야만 CPU에서 연산이 가능하기 때문이다. 이러한 컴퓨터 시스템의 특성으로 인해 메모리에는 파일이 실행되는 과정이나 실행되었던 특유의 정보가 존재한다.

Live Response(Live Data)와 차이점

Live Response(Live Data)	Memory
API에 의존하여 영향을 받기 쉽다.	API에 의존하지 않아 영향받을 일이 비교적 적다.
분석 시 결과가 매번 달라, 당시의 정보를 재현할 수 없다.	변하지 않는 내용의 파일이기 때문에 언제든지 반복 조사가 가능하다.

분석 정보

1. 프로세스와 쓰레드 정보 : 프로그램이나 파일이 실행 중이거나 이미 종료되었지만 메모리에 남아 있는 정보를 추출

2. 모듈과 라이브러리 정보 : 프로그램이나 파일이 실행 중이거나 이미 종료된 프로세스 관련 모듈과 라이브러리 정보 추출

3. 실행된 파일이나 소켓 정보 : 실행 중이거나 이미 종료된 파일 정보와 네트워크 연결을 위해 사용되었거나 사용중인 소켓 정보 추출

4. 다양한 데이터 구조 정보 : 메모리에만 존재하는 운영체제, 소프트웨어 및 파일과 관련된 다양한 데이터 구조의 정보 추출