[5장] Volatility를 활용한 메모리 분석 - cmd 기록, MFT

안녕하세요.

칸입니다.

저번 장에서는 프로세스 덤프 저장, 파일 스캔 방법에 대해 알아보았는데, 이번장에는 cmd 기록 확인과 MFT 저장 방법에 대해 알아보도록 하겠습니다.

모든 플러그인을 다루지는 못하기에, 주요 몇가지들만 보여드리도록 하겠습니다.

참고로 각 플러그인 용도는 밑 링크에 자세히 설명되어있습니다.

플러그인 용도 : http://apollo89.com/wordpress/?p=6989

[1장] 링크 : http://aaasssddd25.tistory.com/52?category=617817

[2장] 링크 : http://aaasssddd25.tistory.com/53?category=617817

[3장] 링크 : http://aaasssddd25.tistory.com/54?category=617817

[4장] 링크 : http://aaasssddd25.tistory.com/55?category=617817

---

01 cmd 기록

명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] cmdscan

cmdscan명령어는 사용자가 cmd.exe을 통해 입력 한 명령어를 보여줍니다.

---

02 MFT(Master File Table)

 

명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] mftparser > [저장할 파일 명] [.확장자]

mftparser 명령어는 메모리의 MFT 정보를 검색하여 보여주는데, 

가독성을 위해서 > mft.csv 명령어를 추가해주도록 합니다.

명령어를 입력하면 이렇게 파일내에 mft.csv가 생성되고 열게되면 밑에 사진과 같이 나타나게 됩니다.

---

이렇게 5장에 걸친 Volatility를 활용한 메모리 분석이 끝났습니다.

활용은 이 글을 읽어주시는 분들에게 달려있습니다.

모든 플러그인을 다루지 못해서 아쉽지만, 글에서 언급하지 않은 플러그인들에 대해서는 밑에 링크를 참고하셔서 학습하시길 바랍니다.

링크 : https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#