[12]Rekall 시작하기 :: Anti Memory Forensics/Rekall

rekall을 설치하고,

(rekall 설치 참고 사이트: https://cpuu.postype.com/post/763901)

 

sample.vmem을 열어주었다.

 

imageinfo를 확인해주었는데, volatility와 다른 정보가 나왔다.

 

psxview 필드 또한 volatility와 달랐다.

 

즉, volatility에서 했던 psxview 필드 7가지 은닉에 대해서는 동일하게 수행하는 것이 불가능 할 것이다.

 

 

출처

발표까지 파이팅!! 우리 선배님 S2

https://blog.naver.com/i1004yu/222052409058