안녕하세요.
칸입니다.
저번 장에서는 프로세스를 분석하는 법을 알아보았는데, 이번장에는 네트워크 정보와 웹 사용기록을 확인하는 법을 알아보도록 하겠습니다.
모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.
참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다.
플러그인 용도 : http://apollo89.com/wordpress/?p=6989
[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817
[2장] 링크 : http://aaasssddd25.tistory.com/53?category=617817
01 네트워크 정보
01-1 netscan(Windows7이후, Windows Server 2008)
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] netscan
netscan 명령어를 통해 활성화된 네트워크 연결 정보를 알 수 있습니다.
01-2 sockets(Windows XP, Windows Server 2003만 가능)
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] sockets
sockets 명령어를 통해 활성화된 네트워크 연결 정보를 알 수 있습니다. (netscan과 같은기능입니다.)
01-3 connscan(Windows XP, Windows Server 2003만 가능)
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] connscan
netscan 명령어를 통해 활성화된 네트워크 연결 정보와 함께 이미 종료된 연결 정보도 알 수 있습니다.
02 웹 사용기록
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] iehistory
iehistory 명령어를 통해 웹 사용기록을 확인할 수 있는데, 제가 분석한 파일에는 웹 사용 기록이 없어서 아무것도 뜨지 않았습니다.
'Security > Forensic' 카테고리의 다른 글
| [5장] Volatility를 활용한 메모리 분석 - cmd 기록, MFT (0) | 2018.03.15 |
|---|---|
| [4장] Volatility를 활용한 메모리 분석 - 프로세스 덤프, 파일 스캔 (0) | 2018.03.15 |
| [2장] Volatility를 활용한 메모리 분석 - 프로세스 (0) | 2018.03.14 |
| [1장] Volatility를 활용한 메모리 분석 - 설치 및 플러그인 종류 (0) | 2018.03.14 |
| 포렌식 관련 사이트 (지속적인 추가 예정) (0) | 2018.03.04 |
