volatility
: volatility Foundation에서 제공하는 python script 언어로 제작된 오픈소스 메모리 포렌식 도구
- volatility를 활용한 메모리 분석 6단계
: OS 분석 -> Process 분석 -> Network 분석 -> DLL 및 Thread 분석 -> String 분석 -> Registry 분석
readline
: 파이어아이 회사의 Mandiant에서 제작된 공개도구
- 시스템 물리적 메모리에서 동작하고 있는 프로세스 정보, 파일 시스템 메타데이터, 레지스터리, 이벤트, 네트워크, 서비스, 웹 히스토리 정보 등을 확인할 수 있다.
volatility 플러그인
- pstree : 프로세스를 트리구조로 출력
- pslist : 프로세스 리스트 출력, 리스트 워킹 (가상 주소)
- psscan : 프로세스 리스트 출력, 패턴 매칭 (물리적 주소)
- psxview : 프로세스 은닉을 탐지하기 위해 다양한 방식으로 프로세스 등을 조회
- procdump : 프로세스 실행파일 추출
- memdump : 프로세스가 사용한 전체 메모리영역 덤프
- filescan : 메모리상의 파일 오브젝트 전체검색(패턴 매칭)
- hivelist : 메모리상의 파일
- cmdscan : cmd에서 실행한 명령어 확인
- cmdline : cmd에서 실행한 명령어 이력 확인
- netscan : 네트워크 연결 등 확인
volatility 설치
https://www.python.org/downloads/
volatility 설치 전, python 2.7을 설치해주어야한다.
The Volatility Foundation - Open Source Memory Forensics
The Volatility Foundation is an independent 501(c) (3) non-profit organization that maintains and promotes The Volatility memory forensics framework.
www.volatilityfoundation.org
위 링크를 통해 volatility를 설치할 수 있다.
[참조]
blog.naver.com/chogar/80211957733
wave1994.tistory.com/31
'Digital Forensics' 카테고리의 다른 글
| [Volatility 실습] OtterCTF MemoryForensics (4, 5, 6) (0) | 2022.06.28 |
|---|---|
| [Volatility 실습] OtterCTF Memory Forensics (1, 2, 3) (0) | 2022.06.22 |
| [디지털 포렌식] FTK Imager 실습 (0) | 2022.05.24 |
| [파일시스템 기초] 파일시스템, 이미징 도구 (0) | 2022.05.17 |
| [네트워크 실습] Hack The Packet 2012 (0) | 2022.05.09 |