
<시작단계>
- volatility.exe가 있는 폴더로 이동해서 cmd를 킨다
- 분석하고자 하는 파일을 volatility.exe있는 곳에 같이 넣는다.
- volatility.exe -f [파일 명] imageinfo
- volatility의 plugin을 사용하기 위해서는 3번을 한 후 suggested profiles라는 곳에 써져있는 운영체제 명을 기억해놓는다.
- process의 리스트를 보기 위해 volatility.exe -f [분석할 파일명] --profile=[운영체제명] pslist을 입력한다.
휘발성이라 전원을 끄면 기록이 날라감
.한개는 .이 없는 것의 자식프로세스 ..은 .의 자식프로세스
pslist자리에
1. psscan은 프로세스의 시작과 끝 시간은 안다
2. pstree는 부모와 자식프로세스를 자세히 볼 때 사용
3. netscan은 해당 프로세스가 연결된 네트워크를 볼 수 있다.
4. cmdscan 메모리를 사용했던 사용자의 cmd명령어를 사용했을 때 그 명령어내역을 볼 수 있다.
ex)
CommandProcess: conhost.exe Pid: 1624
CommandHistory: 0x1c0ab0 Application: cmd.exe Flags: Allocated
--> cmd가 돌아간 상태에서 conhost가 돌아가고 이것의 pid가 1624
5. iehistory은 인터넷 접속내역을 볼 수 있다.
6. mftparser > name.txt -D ./는 메타데이터를 관리하는 파일을 기록함(mft)
7. | findstr [단어] --> 단어가 들어간 정보들이 나옴
<사용단계>
6.프로세스 덤프: volatility.exe -f [분석할 파일명] --profile=[운영체제명] memdump -p [PID] -D ./
※ 6번의 -D는 분석할 파일이 저장 된 디렉토리를 말한다.
7. 파일 덤프 : volatility.exe -f [분석할 파일명] --profile=[운영체제명] dumpfiles -Q [메모리주소] -D ./
==> notepad.exe에서 실행해서 만든 파일이 있다면 파일 덤프해서 볼 수 있다.
8. CMD창의 명령어 보기
volatility.exe -f [분석할 파일명] --profile=[운영체제명] cmdscan
계속 업데이트 예정입니다.
'STUDY > Forensic' 카테고리의 다른 글
NTFS File System - VBR (0) | 2020.07.20 |
---|---|
File System - MBR (0) | 2020.07.20 |
파티션 복구 실습 (1) | 2020.07.13 |
파일 포맷 내부 구조 (0) | 2020.06.04 |
파일시스템 기초 (0) | 2020.03.07 |