Volatility
메모리 포렌식 도구, 오픈소스, CLI 인터페이스
버전 3까지 공개되었으나 아직 버전2를 많이 사용함
이 도구로 증거를 획득할 수 있는 이유 : 메모리에 올라온 프로세스 정보를 가져와 분석할 수 있음
명령어 목록
- 운영체제 식별
imageinfo : 메모리 덤프의 운영체제를 식별
- 프로세스 검색
pslist : 시간 순서대로 보여줌
psscan : 숨겨진 프로세스 출력 가능
pstree : PID, PPID 기준으로 구조화하여 보여줌
psxview : pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있음
- 네트워크 분석
netscan :
windows 7 이상
TCP, UDP 통신 조회 / IPv4, IPv46 지원
socket listening, established, closed 상태 확인 가능
connections :
windows 7 미만
현재 연결된 TCP 통신에 대한 정보
sockets :
windows 7 미만
TCP, UDP포함한 모든 프로토콜
현재 listening 상태에 있는 socket 출력
- cmd 분석
cmdscan, consoles: 콘솔에 입력한 값들 볼 수 있음(consoles는 출력값도 볼 수 있음)
cmdline : 프로세스가 실행될 때의 인자값 확인할 수 있음
- 파일 분석 및 덤프
filescan : 메모리 내에 존재하는 모든 파일들의 리스트 출력, offset도 확인 가능
dumpfiles : 파일을 덤프. 옵션으로 메모리 주소(offset), 프로세스 줄 수 있음(-p 옵션)
- 프로세스 세부 분석
memdump : 특정 프로세스의 메모리 영역을 덤프 -> strings 사용(의미있는 문자열 추출)
procdump : 프로세스의 실행 파일을 추출
악성프로그램 식별
virustotal 사이트 주로 사용
Windows Defender(윈도우 기본 탐지 프로그램)도 정확한 편임
'해킹 공부 > 디지털 포렌식' 카테고리의 다른 글
| CTF-d GrrCon 문제 풀이 정리 (0) | 2022.07.17 |
|---|---|
| Volatility Cridex 풀이 정리 (0) | 2022.07.17 |
| 퀴즈 오답노트 (0) | 2022.07.10 |
| section 1) 도구 실습_삭제된 파일 복구 (0) | 2022.07.07 |
| section 1) 디지털 포렌식 기초 (0) | 2022.07.07 |