macOS 메모리 포렌식을 위한 데이터 수집 및 분석 방법에 대한 연구|RISS 상세보기

다국어 초록 (Multilingual Abstract)

macOS presents challenges for memory data acquisition due to its proprietary system architecture, closed-source kernel, and security features such as System Integrity Protection (SIP), which are exclusive to Apple's product line. Consequently, conventional memory acquisition tools are often ineffective or require system rebooting. This paper analyzes the status and limitations of existing memory forensics research and tools related to macOS. We investigate methods for memory acquisition and analysis across various macOS versions. Our findings include the development of a practical memory acquisition and analysis process for digital forensic investigations utilizing OSXPmem and dd tools for memory acquisition without system rebooting, and Volatility 2, 3 for memory data analysis.

번역하기

국문 초록 (Abstract)

macOS는 Apple 사의 제품군에서만 사용할 수 있고 독자적인 시스템 구조, 비공개 커널, 시스템 무결성 보호를 위한 SIP(System Integrity Protection) 등의 보안 기능 등으로 인해 기존에 알려진 메모리 데이터 수집 도구들이 실제로는 제대로 작동하지 않거나 시스템 재부팅을 필수적으로 동반해야 한다는 문제가 있다. 따라서 본 논문은 macOS와 관련된 메모리 포렌식 관련 연구들과 알려진 도구들의 현황 및 한계점을 분석하고 다양한 macOS 버전을 대상으로 메모리 수집과 분석을 위한 방법을 연구했다. 그 결과 OSXPmem과 dd 도구를 사용하여 시스템 재부팅 없이 메모리 데이터를 수집하고 Volatility 2, 3를 활용하여 메모리 데이터를 분석하는 디지털 포렌식 조사에서 실무적으로 활용할 수 있는 메모리 수집 및 분석 프로세스를 개발했다.

번역하기

macOS는 Apple 사의 제품군에서만 사용할 수 있고 독자적인 시스템 구조, 비공개 커널, 시스템 무결성 보호를 위한 SIP(System Integrity Protection) 등의 보안 기능 등으로 인해 기존에 알려진 메모리 ...

참고문헌 (Reference)

1 김세호 ; 김의찬 ; 김정민 ; 황송이 ; 송종화 ; 이성진, "macOS Forensic Analysis Technique" 11 (11): 14-28, 2017

2 go, "go language"

3 Almubairik, Norah, "WormHex: A Volatile Memory Analysis Tool for Retrieval of Social Media Evidence" 16 (16): 233-238, 2022

4 Volatility 3, "Volatility 3"

5 dwarf2json, "Volatility 2 dwarf2json"

6 Volatility 2, "Volatility 2"

7 Volafox, "Volafox"

8 최준호 ; 이상진, "The Acquisition Methodology Study of User Trace Data in Mac OS X" 17 (17): 335-346, 2010

9 Surge Collect Pro, "Surge Collect Pro"

10 이경식 ; 이상진, "Research on Mac OS X Physical Memory Analysis" 21 (21): 89-100, 2011

1 김세호 ; 김의찬 ; 김정민 ; 황송이 ; 송종화 ; 이성진, "macOS Forensic Analysis Technique" 11 (11): 14-28, 2017

2 go, "go language"

3 Almubairik, Norah, "WormHex: A Volatile Memory Analysis Tool for Retrieval of Social Media Evidence" 16 (16): 233-238, 2022

4 Volatility 3, "Volatility 3"

5 dwarf2json, "Volatility 2 dwarf2json"

6 Volatility 2, "Volatility 2"

7 Volafox, "Volafox"

8 최준호 ; 이상진, "The Acquisition Methodology Study of User Trace Data in Mac OS X" 17 (17): 335-346, 2010

9 Surge Collect Pro, "Surge Collect Pro"

10 이경식 ; 이상진, "Research on Mac OS X Physical Memory Analysis" 21 (21): 89-100, 2011

11 RECON ITR, "RECON ITR"

12 Burdach, Mariusz, "Physical memory forensics" 2006

13 OSXPmem, "OSXPmem"

14 Andrew Case, "New Memory Forensics Techniques to Defeat Device Monitoring Malware" 2022

15 Leopard, Charles B, "Memory forensics and the Macintosh OS X operating system" Springer International Publishing 175-180, 2018

16 MacQuisition, "MacQuisition"

17 Mac Memory Reader, "Mac Memory Redaer"

18 Lee, Kyeong-Sik, "Keychain Analysis with Mac OS X Memory Forensics" Korea University, CIST 2013

19 Digital Collector, "Digital Collector"

20 statcounter, "Desktop Operating System Market Share Worldwide"

21 Case, Andrew, "Advancing Mac OS X rootkit detection" 14 : 25-33, 2015

상세검색

RISS 보유자료

상세검색

해외전자자료

macOS 메모리 포렌식을 위한 데이터 수집 및 분석 방법에 대한 연구 = A Study on Data Acquisition and Analysis Methods for Mac Memory Forensics

부가정보

동일학술지(권/호) 다른 논문

분석정보

이 자료와 함께 이용한 RISS 자료

나만을 위한 추천자료