728x90
1. Volatility란?
- 메모리 덤프 파일 분석에 가장 많이 사용되고 있는 도구
- 오픈 소스 기반, CLI 인터페이스 제공
- 프로세스 정보와 네트워크 정보 등을 확인할 수 있음
- 프로세스 덤프 기능을 제공하여 기존에 실행되고 있던 프로세스 내용 확인 가능
- 비슷한 도구: 구글의 ReKall, 멘디언트의 Redline 등
2. 설치
https://www.volatilityfoundation.org/
3. 플러그인
- pstree : 프로세스를 트리 형식으로 출력
- pslist : 프로세스 리스트 출력, 리스트 워킹 (가상 주소)
- psscan : 프로세스 리스트 출력, 패턴 매칭 (물리적 주소)
- psxview : 프로세스 은닉을 탐지하기 위해 다양한 방식으로 프로세스 조회
- procdump : 프로세스 실행 파일 추출
- memdump : 프로세스가 사용한 전체 메모리영역 덤프
- filescan : 메모리상 파일 오브젝트 전체 검색
- hivelist : 메모리상의 파일
- cmdscan : cmd에서 실행한 명령어 확인
- cmdline : cmd에서 실행한 명령어 이력 확인
- netscan : 네트워크 연결 확인
플러그인을 사용할 때는 cmd에서 volatility.exe -f RAT_MEM.raw --profile=Win7SP1x64 pstree 와 같이 사용
728x90
'FORENSIC > 개념 정리' 카테고리의 다른 글
| FTK Imager 사용법 및 실습 (0) | 2021.05.19 |
|---|---|
| FTK와 Encase 장단점 정리 (0) | 2021.05.13 |
| 파일시스템 기초 개념 정리 (0) | 2021.05.12 |
| Wireshark 기초 개념 및 사용법 정리 (0) | 2021.04.07 |
| 네트워크 기초 개념 정리 (0) | 2021.03.31 |