More Related Content
What's hot
Similar to [HYSS 2016] 쉽고 빠르게 시작하는 Volatility Plugin 개발
Similar to [HYSS 2016] 쉽고 빠르게 시작하는 Volatility Plugin 개발 (20)
[HYSS 2016] 쉽고 빠르게 시작하는 Volatility Plugin 개발
- 1. 영남권 정보보호영재교육원 김 동 현 Volatility Plugin 개발 쉽고 빠르게 시작하는 HYSC 2016 / Keynote #6
- 2. 저작물 인용 저작권법 제 35조의 3 ‘공정이용’ 조항에 따라 교육과 연구 목적으로 이용하고 있습니다. 혹시 문제가 있을 경우, ehdgus9549@smartksia.org 로 연락 주시면 적절한 조치를 취하겠습니다. 발표 자료 배포 미숙한 부분이 존재하는 자료로써 수정 및 검토를 거친 뒤 추후 배포될 예정입니다. 자료와 관련한 문의는 페이스북을 이용해주시기 바랍니다.
- 3. 김동현 Kim Dong Hyun / Digitalis 한국학생IT연합 (KSIA) – 인사 담당 영남권 정보보호영재교육원 장학생 “Windows MBR 분석” 문서 작성 소속 없는 잉여 독고 포렌서 / 고3
- 4. Step 1. 메모리 포렌식 및 Volatility 소개 2. Plugin 개발 시작하기 3. 개발 과정 돌아보기 4. 결론 및 요약, 소소한 팁
- 5. #시작 전에
- 6. “저 C언어도 할 줄 모르는데 가능 할까요?” C알못 “걱정 마세요, 저도 개발을 잘 못해요!” Hello World
- 7. “이거 들으면 이런 플러그인 만들 수 있나요 ?” 기적의 10분 공부법 “많은 삽질과 경험이 필요합니다.” 삽질 인생 하루 만에 듣고 공부해서 멋진걸 만들어 보고 싶어.py
- 8. #그럼 시작해봅시다!
- 9. __init__
- 10. 발표 듣고 구상중인 플러그인 발표자가 가르쳐 주는 방법
- 11. 그러니 메모리 포렌식 공부를 “아주 조금” 해봅시다. 이런 삽질할 시간에 국,영,수를 좀 했으면 …
- 12. 인간은 망각의 동물 – 잉겔 망각 곡선 개발 전 : 허.. 이걸 어떻게 하지? 개발 후 - 1 : 허.. 이걸 왜 이렇게 했지? 개발 후 – 2 : 허.. 이걸 어떻게 했지? 주석을 통해 자신의 코드를 돌아보며 공부하고,
- 13. 주석 노가다의 향연 – print문 빼곤 다 박은듯 좀 노가다 기질이 있지만 자신이나 남의 코드를 되돌아보고 구현된 기능에 대해 공부할 기회 이 대충 짠거면 피본다. (함수의 남발, 극혐 변수 혹시 변태 같이 플러그인 python 코드가 난독
- 14. 모방은 창조의 어머니 남의 플러그인을 참조해 유사한 기능을 구현해보자 ex) Malcom Plugin 시작은 미미하였으나 끝은 창대하리
- 16. 기반이 되는 언어는 Python 무조건 Plugin일 필요는 없다 일단 문법에 대한 숙지와 다양한 활용능력을 기르는 것이 중요하다. Ex) MRU Viewer
- 17. 생각의 틀을 부숴라 메모리 포렌식 툴이지만, 대부분 프로그램이 메모리에 데이터를 상주시키는 것을 생각해보면 플러그인으로 생각 외로 다양한 것을 할 수 있다. 혁신적인것? -> 대박 -> 부와 명예
- 18. 상대적으로 블루 오션을 노리자 물론 Window 관련한 플러그인이 제일 흔하다. Linux mac android는 어떤가 Volatility도 지원하지만 상대적으로 관련된 플러그인이 많지는 않다. Ex) MRU Viewer
- 19. 포기하지말자, 분명 처음이라 한번에 성공 할 수없다 Malcom Plugin 동작 테스트만 해도 100번이 넘어갔다. 이러한 시련속에도 잘 참고 오류를 해결 해나가고 기능을 구현한다면
- 20. 갓들의 존재, 무작정의 의존하고 처음부터 물어보는 것이아닌, 정말 이해가 안되는 부분 코드가 잘 구현이 안되는 부분에 대해 “방향”을 제시 받자.
- 21. Reference
- 22. Reference
- 23. 걱정 마세요, 여러분도 만들 수 있으니 오늘의 주제는 여러분의 삽질을 줄이기 위함입니다.
- 24. 플러그인 만들면 좋은점 1. 내가 만든거다 하고 자랑할수있음 2. Volatility 숙련자가 됨 3. 실력 좋으면 상금도 탈수잇음
- 25. Core Program Plugin 1 Plugin 2 기존의 프로그램에 기반하여 새롭거나 생각지도 못한 기능을 만들어주는 파일
- 26. IDA – PRO / Hexray
- 27. Wordpress Plugin
- 28. 나도 저런 거 하나 만들어보고 싶은데? 끝없는 삽질의 서막
- 29. #전체적인 기획 과정 1. 타 프로그램의 유용한 기능 선정 • 프로세스 관련 도구 - Process Explorer • Check Virustotal 기능 2. 유사 플러그인 탐색 • Sebastien Bourdon-Richard Virustotal Plugin • Maj3sty (이준형) Malscan Plugin
- 30. #전체적인 기획 과정 3. 해당 플러그인의 개선점 파악 • Volatility 최신 버전에서 플러그인이 구동이 되지 않음 • 불필요한 정보 출력, 복잡한 코드 4. 해결방안 탐색 & 개발 착수 • 최신 버전에 맞게 코드의 구조 및 사용 함수 검토 • 일반 사용자에게 필요한 데이터만 파싱 (Parsing)
- 31. #전체적인 개발 과정 3. 해당 플러그인의 개선점 파악 • Volatility 최신 버전에서 플러그인이 구동이 되지 않음 • 불필요한 정보 출력, 복잡한 코드 4. 해결방안 탐색 & 개발 착수 • 최신 버전에 맞게 코드의 구조 및 사용 함수 검토 • 일반 사용자에게 필요한 데이터만 파싱 (Parsing)
- 32. #전체적인 개발 과정 3. 해당 플러그인의 개선점 파악 • Volatility 최신 버전에서 플러그인이 구동이 되지 않음 • 불필요한 정보 출력, 복잡한 코드 4. 해결방안 탐색 & 개발 착수 • 최신 버전에 맞게 코드의 구조 및 사용 함수 검토 • 일반 사용자에게 필요한 데이터만 파싱 (Parsing)
- 34. 다 좋은데 … 그냥 누군가 만들어주지 않을까요? 힘들게 만들어 써야 하나요?
- 35. 분명 플러그인을 만드는 재미도 있지만, 귀찮은 작업이기도 합니다.
- 36. 누군가에게 도움을 주고, 누군가를 통해 계속 발전되어 가는 것을 보는 것이 진정한 의미 있는 일 아닐까요?
- 38. 김동현 Kim Dong Hyun / Digitalis 한국학생IT연합 (KSIA) – 인사 담당 영남권 정보보호영재교육원 장학생 “Windows MBR 분석” 문서 작성 소속 없는 잉여 독고 포렌서 / 고3
- 39. @Digitalis 감사합니다. HYSC 2016 / Keynote #6