안녕하세요.
칸입니다.
저번 장에서는 프로세스 덤프 저장, 파일 스캔 방법에 대해 알아보았는데, 이번장에는 cmd 기록 확인과 MFT 저장 방법에 대해 알아보도록 하겠습니다.
모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.
참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다.
플러그인 용도 : http://apollo89.com/wordpress/?p=6989
[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817
[2장] 링크 : http://aaasssddd25.tistory.com/53?category=617817
[3장] 링크 : http://aaasssddd25.tistory.com/54?category=617817
[4장] 링크 : http://aaasssddd25.tistory.com/55?category=617817
01 cmd 기록
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] cmdscan
cmdscan명령어는 사용자가 cmd.exe을 통해 입력 한 명령어를 보여줍니다.
02 MFT(Master File Table)
명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] mftparser > [저장할 파일 명] [.확장자]
mftparser 명령어는 메모리의 MFT 정보를 검색하여 보여주는데,
가독성을 위해서 > mft.csv 명령어를 추가해주도록 합니다.
명령어를 입력하면 이렇게 파일내에 mft.csv가 생성되고 열게되면 밑에 사진과 같이 나타나게 됩니다.
이렇게 5장에 걸친 Volatility를 활용한 메모리 분석이 끝났습니다.
활용은 이 글을 읽어주시는 분들에게 달려있습니다.
모든 플러그인을 다루지 못해서 아쉽지만, 글에서 언급하지 않은 플러그인들에 대해서는 밑에 링크를 참고하셔서 학습하시길 바랍니다.
링크 : https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#
'Security > Forensic' 카테고리의 다른 글
| [4장] Volatility를 활용한 메모리 분석 - 프로세스 덤프, 파일 스캔 (0) | 2018.03.15 |
|---|---|
| [3장] Volatility를 활용한 메모리 분석 - 네트워크 정보, 웹 사용기록 (0) | 2018.03.15 |
| [2장] Volatility를 활용한 메모리 분석 - 프로세스 (0) | 2018.03.14 |
| [1장] Volatility를 활용한 메모리 분석 - 설치 및 플러그인 종류 (0) | 2018.03.14 |
| 포렌식 관련 사이트 (지속적인 추가 예정) (0) | 2018.03.04 |
