본문 바로가기

Security/Forensic

(8)
[5장] Volatility를 활용한 메모리 분석 - cmd 기록, MFT 안녕하세요.칸입니다. 저번 장에서는 프로세스 덤프 저장, 파일 스캔 방법에 대해 알아보았는데, 이번장에는 cmd 기록 확인과 MFT 저장 방법에 대해 알아보도록 하겠습니다. 모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다. 플러그인 용도 : http://apollo89.com/wordpress/?p=6989[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817[2장] 링크 : http://aaasssddd25.tistory.com/53?category=617817[3장] 링크 : http://aaasssddd25.tistory.com/54?category=617817..
[4장] Volatility를 활용한 메모리 분석 - 프로세스 덤프, 파일 스캔 안녕하세요.칸입니다. 저번 장에서는 네트워크 정보와 웹 사용기록을 확인하는 법을 알아보았는데, 이번장에는 프로세스 덤프 저장, 파일 스캔 방법에 대해 알아보도록 하겠습니다. 모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다. 플러그인 용도 : http://apollo89.com/wordpress/?p=6989[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817[2장] 링크 : http://aaasssddd25.tistory.com/53?category=617817[3장] 링크 : http://aaasssddd25.tistory.com/54?category=617817..
[3장] Volatility를 활용한 메모리 분석 - 네트워크 정보, 웹 사용기록 안녕하세요.칸입니다. 저번 장에서는 프로세스를 분석하는 법을 알아보았는데, 이번장에는 네트워크 정보와 웹 사용기록을 확인하는 법을 알아보도록 하겠습니다. 모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다. 플러그인 용도 : http://apollo89.com/wordpress/?p=6989[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817[2장] 링크 : http://aaasssddd25.tistory.com/53?category=617817 01 네트워크 정보 01-1 netscan(Windows7이후, Windows Server 2008) 명령어 : vol.py..
[2장] Volatility를 활용한 메모리 분석 - 프로세스 안녕하세요.칸입니다. 저번 장에서는 설치부터 플러그인 확인하는 법을 알아보았는데, 이번장에는 직접 플러그인을 활용해 메모리를 분석해보도록 하겠습니다. 모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다. 플러그인 용도 : http://apollo89.com/wordpress/?p=6989[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817 01 imageinfo Volatility의 다른 플러그인을 사용하기 위해서는 --profile=[운영체제명] 가 필요합니다.예컨대, 우리가 웹 사용기록을 알기위해서는 위 사진과 같은 명령어를 입력하게 되는데, 이때, --profil..
[1장] Volatility를 활용한 메모리 분석 - 설치 및 플러그인 종류 안녕하세요.칸입니다. 오늘은 메모리 포렌식에 유용하게 사용할 수 있는 오픈소스 Volatility 사용법에 대해 알아보도록 하겠습니다. ※ Volatility란? Python 기반의 메모리 포렌식 툴이며, Windows, Linux, Max OS에서 실행이 가능하다. 또한, 플러그인 형태로 다양한 기능들을 제공하는데, 자신이 직접 플러그인을 만들어서 사용할 수있다. (근데 웬만한 것들은 전부 만들어져 있음) ※ 사용 방법 01 Volatility 설치 및 Python 환경 변수 설정 설치 : http://www.volatilityfoundation.org/24Python 환경 변수 설정 : http://aaasssddd25.tistory.com/20?category=654312 먼저 설치를 한 후 어디서..