[Malware] - 물리 메모리 분석

Memory 가상주소 공간과 물리 메모리의 관계 · CPU는 오직 레지스터와 Memory 에만 접근 · 프로그램이 실행될 때 필요한 데이터와 코드는 Memory 에 올려지고 CPU가 Memory 에 있는 실행파일을 실행 · 프로세스는 메모리에 가상 메모리 주소로 존재한다. · 가상 메모리 주소는 물리 메모리에 조각으로 존재한다. · 프로세스는 운영체제에서 특정한 자료구조 형태로 관리한다. · Windows 운영체제에서는 EPROCESS 메모리상에서의 프로세스 페이징(Paging) · 프로세스를 일정 크기인 페이지로 잘라서 메모리에 적재하는 방식이다. · 물리 메모리 공간에 연속적으로 존재하지 않을 수 있다. · 프로세스에서는 연속적으로 보이지만 실제 메모리에서는 연속적이지 않을 수 있다. 프로세스 생성과정 1.

실행파일 오픈, 섹션 오브젝트 생성 2. 실행파일 오픈, 섹션 오브젝트 생서 3.

포르세스 주소 공간 초기화 4. KPROCESS 블록 초기ㅣ화 5.

PEB 생성 및 초기화 ...