2004년 휘발성 메모리에 대한 분석 기술이 최초로 발표된 이후, 일명 ‘메모리 포렌식(Memory Forensics)’이 나날이 발전하며 각광받고 있다. 메모리 덤프 내부에는 현재 실행중인 프로세스 목록, 네트워크 연결상태, 메시지, 암호화 키 등의 파편이 남아있어서 이러한 것들을 분석함으로써 사이버 범죄가 대상 시스템에서 구체적으로 어떻게 이루어졌는지를 보다 명확히 추적할 수 있게 된다. 이러한 분석을 위해서는 먼저 운영체제별로 저마다 다르게 사용되고 있는 커널 데이터 구조와 애플리케이션에 대한 구체적인 분석이 선행되어야만 한다. 현재 메모리 포렌식 분석에서 가장 널리 쓰이는 오픈소스 Volatility 도구에는 마이크로소프트 윈도우 운영체제(Winxods XP ~ Windows 10)에 해당하는 프로파일을 제공한다.

그러나 안타깝게도 리눅스 운영체제에 대한 메모리 포렌식은 그리 간단한 문제가 아니다. 리눅스 시스템은 메모리를 덤프하는 것도 윈도우에 비해 상당히 까다롭다. 게다가 각 제품군에 따른 커널 모듈이 상이하고, 버전별로도 조금씩 차이가 있다. 때문에 리눅스 환경에서의 메모리 포렌식은 윈도우 환경에 비해 어렵다고 느껴질 수 있다. 본 도서에서는 메모리 포렌식을 위한 리눅스 커널 모듈 프로파일을 추출 방법을 안내하고, 메모리 덤프 추출을 돕는 오픈소스 LiME 의 사용법을 다룬다. 그리고 마지막으로 The Honeynet Project의 Forensic Challenge 2011에서 출제되었던 리눅스 서버 시스템에 대한 메모리 포렌식 문제를 볼라틸리티를 활용한 풀이를 통해 실전적 감각을 다지도록 한다.

제 1장 리눅스 메모리 포렌식 개요 8

제 2장 리눅스 포렌식 환경구축 12
2.1 Ubuntu 16.04 14
2.2 볼라틸리티 설치 17
2.3 리눅스 프로파일 설정 20
2.3.1 설치된 프로파일 확인 20
2.3.2 공식 프로파일 다운로드 23
2.3.3 프로파일 직접 생성하기 26

제 3장 리눅스 메모리 수집 33
3.1 LiME 35
3.2 lmg(Linux Memory Grabber)을 통한 자동화 41
3.2.1 lmg 전용 USB 준비 42
3.2.2 lmg 설치 45
3.2.3 LiME 설치 46
3.2.4 Dwarfdump 설치 47
3.2.5 볼라틸리티 설치 49
3.2.6 lmg 스크립트 구동 51
3.2.7 Capture 파일 분석 54

제 4장 리눅스 메모리 분석 58
4.1 볼라틸리티 플러그인 구조 59
4.2 리눅스 전용 플러그인 작동원리 62
4.3 리눅스 플러그인 목록 67

제 5장 Honeynet Challenge 풀이 69
5.1 문제 시나리오 71
5.2 포렌식 분석 74
5.2.1 파일시스템 및 운영체제 확인 74
5.2.2 볼라틸리티 프로파일 등록 78
5.2.3 시스템 정보 81
5.2.4 프로세스 정보 83
5.2.5 네트워크 정보 87
5.2.6 취약점 및 공격 기법 분석 90
5.3 종합 결론 및 향후 보완대책 102