티스토리 뷰
volatility에 대해 알아보장.
출처:https://velog.io/@jjewqm/%EB%A9%94%EB%AA%A8%EB%A6%AC-%ED%8F%AC%EB%A0%8C%EC%8B%9D
volatility란?
volatility 플러그인
프로세스 분석
- psscan : 실행 중인 프로세스/종료된 프로세스 정보 분석
$vol.py -f [덤프파일] --profile=Win7SP1x64 psscan > psscan.txt
# --profile은 덤프파일의 운영체제를 선택하는 옵션이다.
- pstree : 프로세스의 부모/자식관계 분석
$vol.py -f [덤프파일] --profile=Win7SP1x64 pstree > pstree.txt
네트워크 분석
- connections : 활성화 상태의 네트워크 연결 정보(윈도우 xp/vista)
$vol.py -f [덤프파일] --profile=WinXPSP1x86 connection > connection.txt
- connscan : 활성화 상태의 네트워크 연결 정보나 이미 종료된 네트워크 연결 정보
$vol.py -f [덤프파일] --profile=Win7SP1x64 connscan > connscan.txt
- netscan : 활성화 상태의 네트워크 연결 정보(윈도우7이상)
$vol.py -f [덤프파일] --profile=Win7SP1x64 netscan > netscan.txt
DLL,Thread 분석
- ldrmodules : 은폐된 DLL 정보 분석
$vol.py -f [덤프파일] --profile=Win7SP1x64 ldrmodules > ldrmodules.txt
- ddldump : 특정 프로세스에서 로드 한 DLL 추출
$vol.py -f [덤프파일] --profile=Win7SP1x64 dlldump -p [PID] -D ./
- malfind : 사용자 모드 형태로 은폐되어 있거나 인젝션 된 코드 또는 DLL 정보 분석
$vol.py -f [덤프파일] --profile=Win7SP1x64 malfind -p [PID] > malfind.txt
파일 분석
- filescan : 메모리에서 검색한 파일 복구
$vol.py -f [덤프파일] --profile=Win7SP1x64 filescan > filescan.txt
$vol.py -f [덤프파일] --profile=Win7SP1x64 filescan | findstr "jpg" > jpgscan.txt
# findstr 플러그인으로 원하는 문자열이 포함된 파일 검색
- dumpfiles : 메모리에서 검색한 파일 복구
$vol.py -f [덤프파일] --profile=Win7SP1x64 dumpfiles -Q [복구할 파일의 메모리 주소] -D ./
# -D ./는 현재 디렉토리에 파일을 덤프하겠다는 의미. 필수 옵션.
- memdump : 메모리에 존재하는 프로세스 복구
$vol.py -f [덤프파일] --profile=Win7SP1x64 memdump -p [PID] -D ./
커맨드 및 인터넷기록 분석
cmdscan : 명령 프롬포트로 실행된 정보 분석
$vol.py -f [덤프파일] --profile=Win7SP1x64 cmdscan > cmdscan.txt
- consoles : 콘솔로 실행된 정보 분석
$vol.py -f [덤프파일] --profile=Win7SP1x64 consoles > consoles.txt
- iehistory : 인터넷 접속 기록 분석
$vol.py -f [덤프파일] --profile=Win7SP1x64 iehistory > iehistory.txt
분석해보기
mac OS를 기준으로 설명하겠다.
설치 후 압축을 풀면
memdump.vmem을 제외한 파일들이 존재한다.
vmem은 가상머신에서 추출한 덤프 파일이다.
imageinfo 플러그인으로 이미지 정보를 가져온다.
info.txt를 확인해보면
운영체제는 win7과 win2008 서버가 있다.
win7SP1을 확인하자.
먼저 pstree로 프로세스 목록을 확인한다.
./volatility_2.6_mac64_standalone -f memdump.vmem --profile=Win7SP1x64 pstree
명령어로 확인해보면
트리구조로 나온다.
이 중 PID가 1364인 SkypeC2AutoUpd 프로세스를 덤프해보자.
memdump 플러그인을 실행해보면
1364.dmp 파일이 나왔다.
이 파일을 알아보기 위해서는 strings라는 명령어가 필요하다.
이번엔 파일을 추출해보자.
skype를 찾고
offset으로 파일을 복구해보자.
복구하면 파일2개가 생긴다.
그 중 .img를 .exe로 바꾸면 skype파일을 복구할수 있다.
'포렌식' 카테고리의 다른 글
스테가노그래피 복호화 사이트 (0) | 2020.11.01 |
---|---|
파일 시스템 (0) | 2020.10.12 |
디스크 포렌식 다중 파티션 복구 (0) | 2020.09.25 |
파일 시스템 포렌식 파티션 복구 (0) | 2020.09.25 |
윈도우 포렌식 레지스트리 분석 (0) | 2020.09.21 |
- Total
- Today
- Yesterday
- 차량 네트워크
- 케라스
- Ethernet
- automotive
- Python
- 이상탐지
- SVM
- AVTP
- json2html
- CAN-FD
- 딥러닝
- 크로스 엔트로피
- automotive ethernet
- SOME/IP
- 차량용 이더넷
- 머신러닝
- many-to-one
- many-to-many
- HTML
- AE
- AVB
- 단순선형회귀
- one-to-many
- 회귀
- 논문 잘 쓰는법
- cuckoo
- 로지스틱회귀
- problem statement
- PCA
- porks
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |