안녕하세요.
칸입니다.
오늘은 메모리 포렌식에 유용하게 사용할 수 있는 오픈소스 Volatility 사용법에 대해 알아보도록 하겠습니다.
※ Volatility란?
Python 기반의 메모리 포렌식 툴이며, Windows, Linux, Max OS에서 실행이 가능하다. 또한, 플러그인 형태로 다양한 기능들을 제공하는데, 자신이 직접 플러그인을 만들어서 사용할 수있다.
(근데 웬만한 것들은 전부 만들어져 있음)
※ 사용 방법
01 Volatility 설치 및 Python 환경 변수 설정
설치 : http://www.volatilityfoundation.org/24
Python 환경 변수 설정 : http://aaasssddd25.tistory.com/20?category=654312
먼저 설치를 한 후 어디서든 Volatility를 열기 위해서 환경변수 설정까지 마쳐야합니다.
02 Volatility가 설치되어 있는 곳으로 이동
저처럼 D드라이브에 설치되어 있는 경우는 밑에 링크를 참조하시길 바랍니다.
링크 : http://aaasssddd25.tistory.com/49?category=654312
03 자신이 사용할 플러그인 확인
위 사진과 같이, 지원하는 플러그인을 확인해 자신이 사용할 플러그인을 찾아서 사용하시면 됩니다.
각 플러그인에 대한 설명은 밑에 링크를 통해 확인하시길 바랍니다.
링크 : https://github.com/volatilityfoundation/volatility/wiki/Command-Reference
'Security > Forensic' 카테고리의 다른 글
| [3장] Volatility를 활용한 메모리 분석 - 네트워크 정보, 웹 사용기록 (0) | 2018.03.15 |
|---|---|
| [2장] Volatility를 활용한 메모리 분석 - 프로세스 (0) | 2018.03.14 |
| 포렌식 관련 사이트 (지속적인 추가 예정) (0) | 2018.03.04 |
| 포렌식 분석 시 사용할 수 있는 도구 모음 (0) | 2018.03.04 |
| 디지털 포렌식 5대 원칙 (0) | 2018.03.03 |
