Volatility 정리

Digital Forensics

해당 포스트에서는 Volatility의 대한 정리입니다.

---

1.Volatility

• 메모리 포렌식 도구, 오픈소스, CLI 인터페이스
• 버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용함

2.Volatility 명령어 정리

운영체제 식별

• imageinfo : 메모리 덤프의 운영체제를 식별

프로세스 검색

• pslist: 시간 순서대로 보여줌
• psscan: 숨겨진 프로세스 출력 기능
• pstree: PID, PPID 기준으로 구조화하여 보여줌
• psxview: pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있음

네트워크 분석

• netscan
  • Windows 7 이상
  • TCP, UDP / IPv4, IPv6
  • Listening, Established, Closed

netscan

 

• Connections
  • Windows 7 미만
  • 현재 연결된 TCP 통신에 대한 정보

Connections

• Sockets
  • Windows 7 미만
  • TCP, UDP를 포함한 모든 프로토콜
  • 현재 Listening 상태에 있는 소켓을 출력
• CMD 분석
  • cmdscan, consoles: 콘솔에 입력한 값들을 볼 수 있음
  • cmdline: 프로세스가 실행될 때의 인자값을 확인할 수 있음

cmdscan

• 파일 분석 및 덤프
  • filescan: 메모리 내에 존재하는 모든 파일들의 리스트 출력
  • dumpfiles: 파일을 덤프, 옵션으로 메모리 주소, 프로세스 줄 수 있다.

filescan

• 프로세스 세부 분석
  • memdump: 특정 프로세스의 메모리 영역을 덤프 >> strings 사용
  • procdump: 프로세스의 실행 파일을 추출