안녕하세요.
칸입니다.
저번 장에서는 설치부터 플러그인 확인하는 법을 알아보았는데, 이번장에는 직접 플러그인을 활용해 메모리를 분석해보도록 하겠습니다.
모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.
참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다.
플러그인 용도 : http://apollo89.com/wordpress/?p=6989
[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817
01 imageinfo
Volatility의 다른 플러그인을 사용하기 위해서는 --profile=[운영체제명] 가 필요합니다.
예컨대, 우리가 웹 사용기록을 알기위해서는
위 사진과 같은 명령어를 입력하게 되는데, 이때, --profile=[운영체제명]이 필요한 것이죠.
제가 분석할 파일은 Windows7.vmem입니다.
명령어 : vol.py -f [분석할 파일명] imageinfo
Suggested Profile에 출력된 것들이 앞으로 --profile에 사용할 운영체제명입니다.
02 프로세스 확인
02-1 pstree
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] pstree
pstree 명령어를 통해 프로세스의 상관 관계 정보를 얻을 수 있는데,
분석할 때는 자식프로세스(. / .. / ... 등)가 없이 혼자 독립적으로 있는 프로세스를 유심히 볼 필요가 있습니다.
02-2 psscan
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] psscan
psscan 명령어를 통해 윈도우 시스템에서 동작 중인 프로세스의 생성시간과 종료시간 정보를 확인할 수 있습니다.
02-3 psxview
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] psxview
psxview 명령어를 통해 메모리 덤프 파일을 생성한 윈도우 시스템에서 은폐기능으로 동작하는 프로세스가 존재하는지 확인할 수 있습니다.
은폐기능을 하는 프로세스를 찾는 방법은 밑에 링크를 타셔서 page 14, 15를 확인해주시면 되겠습니다.
링크 : https://forensic.n0fate.com/wp-content/uploads/2016/03/FI_%EC%8B%A4%EC%A0%84-%EC%9C%88%EB%8F%84-%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C-%EB%A9%94%EB%AA%A8%EB%A6%AC-%EB%B6%84%EC%84%9D_160305.pdf
'Security > Forensic' 카테고리의 다른 글
[4장] Volatility를 활용한 메모리 분석 - 프로세스 덤프, 파일 스캔 (0) | 2018.03.15 |
---|---|
[3장] Volatility를 활용한 메모리 분석 - 네트워크 정보, 웹 사용기록 (0) | 2018.03.15 |
[1장] Volatility를 활용한 메모리 분석 - 설치 및 플러그인 종류 (0) | 2018.03.14 |
포렌식 관련 사이트 (지속적인 추가 예정) (0) | 2018.03.04 |
포렌식 분석 시 사용할 수 있는 도구 모음 (0) | 2018.03.04 |