안녕하세요.
칸입니다.
저번 장에서는 네트워크 정보와 웹 사용기록을 확인하는 법을 알아보았는데, 이번장에는 프로세스 덤프 저장, 파일 스캔 방법에 대해 알아보도록 하겠습니다.
모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.
참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다.
플러그인 용도 : http://apollo89.com/wordpress/?p=6989
[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817
[2장] 링크 : http://aaasssddd25.tistory.com/53?category=617817
[3장] 링크 : http://aaasssddd25.tistory.com/54?category=617817
01 덤프 저장
프로세스의 덤프를 저장하기 위해서는 우선 프로세스의 Pid를 알아야 합니다. (pstree, psscan 등 이용)
저는 Pid 412인 wininit.exe의 덤프를 저장해보도록 하겠습니다.
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] memdump -p [Pid] -D ./
memdump명령어를 통해 덤프를 저장할 수 있는데 뒤에 -D ./은 해당 디렉토리에 저장을 하겠다는 뜻입니다.
결과를 보시면 해당 주소에 412.dmp가 생성된 것을 알 수 있습니다.
이제 dmp 내용을 확인하기 위해서 txt파일로 변환해주는 작업이 필요합니다.
명령어 : strings.exe [덤프명.dmp] >> [저장하고 싶은 제목].txt
strings.exe 명령어를 통해 덤프 파일을 텍스트 파일로 변환합니다.
덤프뜬 파일의 내용을 보면 위와 같습니다.
02 파일 스캔
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] filescan |findstr [찾고 싶은 확장자]
filescan 명령어를 사용하면 파일을 찾을 수 있는데, 위 사진처럼 추가로 |findstr .png를 입력하면 확장자가 .png인 파일을 확인할 수 있습니다.
'Security > Forensic' 카테고리의 다른 글
| [5장] Volatility를 활용한 메모리 분석 - cmd 기록, MFT (0) | 2018.03.15 |
|---|---|
| [3장] Volatility를 활용한 메모리 분석 - 네트워크 정보, 웹 사용기록 (0) | 2018.03.15 |
| [2장] Volatility를 활용한 메모리 분석 - 프로세스 (0) | 2018.03.14 |
| [1장] Volatility를 활용한 메모리 분석 - 설치 및 플러그인 종류 (0) | 2018.03.14 |
| 포렌식 관련 사이트 (지속적인 추가 예정) (0) | 2018.03.04 |
