N0cT1s41

해당 포스트에서는 Volatility의 대한 정리입니다.1.Volatility메모리 포렌식 도구, 오픈소스, CLI 인터페이스버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용함2.Volatility 명령어 정리운영체제 식별imageinfo : 메모리 덤프의 운영체제를 식별프로세스 검색pslist: 시간 순서대로 보여줌psscan: 숨겨진 프로세스 출력 기능pstree: PID, PPID 기준으로 구조화하여 보여줌psxview: pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있음네트워크 분석netscanWindows 7 이상TCP, UDP / IPv4, IPv6Listening, Established, Closed ConnectionsWindows 7 미만현재 연결된 TCP 통..

해당 포스트에서는 CTF-D의 GrrCon 2015 #1 문제에 대한 분석입니다.해당 문제를 제공하는 사이트는 현재 막혀있는 상태로 파일 다운을 원하고자 하면 댓글 남겨주세요.1. 운영체제 식별해당 파일을 다운로드하여 이미지의 정보를 확인명령어: volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss imageinfo2. 프로세스 확인위 imageinfo 사진에 Suggested Profile(s) 부분에 있는 운영체제 버전 중 아무거나 선택해서 프로세스에 대해 분석을 해보겠다.명령어:volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss --profile=Win7SP1x86 pslist >..