Dump 분석 중 Virus로 의심되는 파일 확인하기

dump 를 분석 하다 보면 악성 코드로 의심되는 파일이 있는 경우가 있습니다. 이 경우 Anti-Virus 제품으로 검사를 해 보고 싶어지는데 이때 .writemem 명령을 사용하면 Dump 상에 존재하는 Memory 를 파일로 Write 할 수 있습니다. 물론 전체 Image 가 Dump 안에 존재해야 파일로 쓸 수 있습니다.

Test 를 위해서 Sysinternals 의 LiveKD 를 test 해 보도록 하겠습니다.

LivekdD 가 올라가 있는 메모리 영역을 알기 위해 lmvm 명령을 사용 합니다.

lkd> lmvm LiveKdD
start    end        module name
f79a7000 f79a8fe0   LiveKdD    (deferred)            
    Image path: \??\C:\WINDOWS\system32\Drivers\LiveKdD.SYS
    Image name: LiveKdD.SYS
    Timestamp:        Thu Jul 21 05:19:44 2005 (42DEB1E0)
    CheckSum:         0000F0A9
    ImageSize:        00001FE0
    File version:     3.0.0.0
    Product version:  3.0.0.0
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        3.7 Driver
    File date:        00000000.00000000
    Translations:     0409.04b0
    CompanyName:      Sysinternals - www.sysinternals.com
    ProductName:      LiveKd
    InternalName:     liveKdd.sys
    OriginalFilename: LiveKdd.sys
    ProductVersion:   3.00
    FileVersion:      3.00
    FileDescription:  LiveKd file system filter
    LegalCopyright:   Copyright (C) Mark Russinovich 2000-2005

.writemem 명령을 사용해서 livekd.sys 로 저장합니다. 파일명 시작 Address 끝 Address 입니다.

 

lkd> .writemem d:\case\livekd.sys f79a7000 f79a8fe0
Writing 1fe1 bytes....

Virus total 이라는 site 에서 검사해 보면 정상 파일임을 확인할 수 있습니다.

PS : .readmem 명령을 사용해서 파일의 내용을 Memory 로 올릴 수도 있습니다.