작년 9월에 Volatility에서 사용할 리눅스 프로파일을 만드는 방법에 대해서 포스팅한 후 한참을 삽질만 하다가
귀찮아서 관둘까 하는 찰나에 Volatility에서 조만간 리눅스용 프로파일을 만들어서 공개하겠다...라고 해서 기대하고 있었는데
국내 환경에서 가장 많이 사용되는 CentOS는 6.3버전의 64비트 버전 꼴랑 하나만 있더군요..
국내 환경은 CentOS 5.8이 제일 많은데 말이죠..
그들이 만들지 않은 이유가 있지 않을까 생각되면서도 언제까지 기다리고만 있을 순 없어서
삽질의 삽질의 닭질을 거듭 반복한 결과 CentOS 5.7 ~ 6.3까지 프로파일을 만들었습니다. ;-)
프로파일 만드는 방법은 여기를 참조하시면 되고
프로파일을 만들기 위해 필요한 필수 패키지는 다음과 같습니다.
kernel-devel
kernel-headers
elfutils
elfutils-devel
커널 패키지는 현재 설치된 커널과 동일한 패키지를 설치하셔야 하며 여기서 검색해서 사용하시면 됩니다. 배포판이 다르더라도 버전만 맞으면 됩니다.
CentOS는 yum으로 업그레이드를 하면 각각 마지막 배포판 버전(5.9, 6.3)으로 업그레이드 됩니다.
만약 분석할 메모리의 커널 버전이 만들어둔 프로파일의 커널 버전과 일치하지 않을 경우 새롭게 만들어주셔야 합니다.
프로파일은 module.dwarf 파일과 System.map 파일이 필요합니다.
System.map 파일은 조사 대상 서버에서 추출해서 사용하면 되고
module.dwarf 파일은 조사 대상 서버에서 컴파일해서 사용하는게 가장 정확하겠지만
패치버전(2.6.18)까지만 맞으면 정상적으로 동작했었습니다. (RHEL에서 테스트)
위 목록 중 RHEL5의 경우 디폴트는 2.6.18-8.el5 버전이었고 조사 대상은 2.6.18-164.el5PAE 버전이었는데
조사 대상 서버에서는 System.map 파일만 추출해서 가져오고 module.dwarf는 vmware에 설치한 RHEL5에서 컴파일해서 사용했습니다.
즉, 프로파일을 만들기를 원하는 운영체제와 커널 버전이 있다면 직접 설치해서 module.dwarf 파일을 만들어서 가지고 있으면 됩니다.
각각의 패치버전에 대한 프로파일까지 만들고 싶었지만 yum으로 업데이트하면 가장 최신으로만 업데이트가 되기 때문에
중간중간에 있었던 커널 버전에 대한 프로파일을 만들려면.......(상상이 가시나요? ㅜ.ㅜ)
리눅스 서버의 경우 커널 업데이트를 잘 하지 않기 때문에
각 배포판별로 디폴트 커널에 대한 프로파일만 가지고 있어도 무난할 것으로 보입니다.
프로파일은 계속해서 필요할 때마다 만들어 나갈 예정입니다.
Volatility Linux Profile Download by demantos
프로파일 사용에 있어서 문제가 있으시면 언제든지 demantos@gmail.com 으로 메일 보내주시면 감사하겠습니다~!!
댓글 없음:
댓글 쓰기