Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- 파이썬
- 신경망
- C언어 알고리즘
- BOF
- 스트림암호
- C알고리즘
- 신경망파이썬
- 신경망구현
- 8086CPU레지스터
- 머신러닝
- 파이썬신경망
- FTZlevel10
- 밑바닥부터시작하는딥러닝
- 딥러닝파이썬
- 백준
- 인공지능
- 백준알고리즘
- 소프트맥스함수
- 달고나bof
- 신경망 학습
- 딥러닝
- C언어알고리즘
- 항등함수
- 알고리즘
- 활성화함수파이썬
- 보안
- 정보보안
- 버퍼오버플로우
- c언어
- BOJ
Archives
- Today
- Total
HeeJ's
[01] Volatility 시작하기 :: Anti Memory Forensics/Volatility 본문
<Project>/<Anti Memory Forensic>_2020
[01] Volatility 시작하기 :: Anti Memory Forensics/Volatility
meow00 2020. 7. 26. 01:40Volatility?
파이썬 기반의 오픈 소스 메모리 포렌식 툴
CLI 인터페이스를 제공한다.
플러그인 형태로 다양한 기능들을 제공하는데, 자신이 직접 플러그인을 만들어서 사용 가능
Volatility 플러그인
pstree : 프로세스를 트리구조로 출력
pslist : 프로세스 리스트 출력 (가상 주소)
psscan : 프로세스 리스트 출력 (물리적 주소)
psxview : 프로세스 은닉 탐지를 위해 다양한 방식으로 프로세스 등을 조회
procdump : 프로세스 실행파일 추출
memdump : 프로세스가 사용한 전체 메모리 영역 덤프
filescan : 메모리상의 파일 오브젝트 전체 검색
hivelist : 메모리상의 파일
cmdscan : cmd에서 실행한 명령어 확인
cmdline : cmd에서 실행한 명령어 이력 확인
netscan : 네트워크 연결 등 확인
imageinfo : 이미지 정보 확인
hh() : volshell의 타입 확인
ps() : 활성화되어있는 프로세스들 확인
dt() : 구조체 변수 출력
dt("KDDEBUGGER_DATA64") : 커널 구조체
dt("EPROCESS") : 프로세스 구조체
dt("OBJECT_HEADER") : 오브젝트 구조체
dt("POOL_HEADER") : 풀 헤더 구조체
* 구조체는 변수를 효율적으로 사용하게 해준다.
Volatility 시작하기
설치해둔 Volatility가 있는 폴더로 들어간다.
경로가 있는 창에 cmd를 입력해 명령 프롬프트를 켠다.
python vol.py -f 사용할파일명 --profile=Win7SP1x64 volshell 명령어를 통해 volatility 시작
[출처]
'<Project> > <Anti Memory Forensic>_2020' 카테고리의 다른 글
| [05] thrdproc 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
|---|---|
| [04] psscan 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.02 |
| [03] pslist 우회하기(PROCESS) :: Anti Memory Forensics/Volatility (0) | 2020.08.01 |
| [02] 프로세스 이동 :: Anti Memory Forensics/Volatility (0) | 2020.07.30 |
| [00] 안티포렌식 (Anti-Forensic) (0) | 2020.07.16 |
'<Project>/<Anti Memory Forensic>_2020' Related Articles
more
