[01] Volatility 시작하기 :: Anti Memory Forensics/Volatility

<Project>/<Anti Memory Forensic>_2020

meow00 2020. 7. 26. 01:40

Volatility?

파이썬 기반의 오픈 소스 메모리 포렌식 툴

CLI 인터페이스를 제공한다.

플러그인 형태로 다양한 기능들을 제공하는데, 자신이 직접 플러그인을 만들어서 사용 가능

pstree : 프로세스를 트리구조로 출력

pslist : 프로세스 리스트 출력 (가상 주소)

psscan : 프로세스 리스트 출력 (물리적 주소)

psxview : 프로세스 은닉 탐지를 위해 다양한 방식으로 프로세스 등을 조회

procdump : 프로세스 실행파일 추출

memdump : 프로세스가 사용한 전체 메모리 영역 덤프

filescan : 메모리상의 파일 오브젝트 전체 검색

hivelist : 메모리상의 파일

cmdscan : cmd에서 실행한 명령어 확인

cmdline : cmd에서 실행한 명령어 이력 확인

netscan : 네트워크 연결 등 확인

imageinfo : 이미지 정보 확인

hh() : volshell의 타입 확인

ps() : 활성화되어있는 프로세스들 확인

dt() : 구조체 변수 출력

dt("KDDEBUGGER_DATA64") : 커널 구조체
dt("EPROCESS") : 프로세스 구조체
dt("OBJECT_HEADER") : 오브젝트 구조체
dt("POOL_HEADER") : 풀 헤더 구조체

* 구조체는 변수를 효율적으로 사용하게 해준다.

설치해둔 Volatility가 있는 폴더로 들어간다.

경로가 있는 창에 cmd를 입력해 명령 프롬프트를 켠다.

python vol.py -f 사용할파일명 --profile=Win7SP1x64 volshell 명령어를 통해 volatility 시작

[출처]