volatility.exe가 있는 폴더로 이동해서 cmd를 킨다 분석하고자 하는 파일을 volatility.exe있는 곳에 같이 넣는다. volatility.exe -f [파일 명] imageinfo volatility의 plugin을 사용하기 위해서는 3번을 한 후 suggested profiles라는 곳에 써져있는 운영체제 명을 기억해놓는다. process의 리스트를 보기 위해 volatility.exe -f [분석할 파일명] --profile=[운영체제명] pslist을 입력한다. 휘발성이라 전원을 끄면 기록이 날라감 .한개는 .이 없는 것의 자식프로세스 ..은 .의 자식프로세스 pslist자리에 1. psscan은 프로세스의 시작과 끝 시간은 안다 2. pstree는 부모와 자식프로세스를 자세히 ..
