Volatility 플러그인
2019.09.26
볼라틸리티를 사용한 메모리 포렌식은 직접 분석도 중요하지만 우선 플러그인 사용법을 숙달하는 것이 선행되어야 합니다. 간단하게 플러그인에 대한 설명과 실행가능한 명령어로 정리해 봤습니다. imageinfo - 메모리 덤프 파일의 프로파일 정보를 출력한다. 프로파일은 운영체제와 하드웨어 아키텍쳐 식별 정보다. vol.py -f sample\cridex.vmem imageinfo kdbgscan - 커널 디버거 데이터 블록의 특징을 찾고 분석한다. imageinfo가 프로파일의 정보를 출력하기 위해서 사용하는 논리는 kdbgscan에서 제공된 기능에 기반하고 있다. vol.py -f sample\cridex.vmem kdbgscan timeliner - 시간 정보가 있는 윈도우 아티팩트를 출력한다. csv 파..