Volatility
본문 바로가기
포렌식/리눅스 포렌식

Volatility

HackingPractice 2020. 12. 23. 16:58
반응형

메모리 분석을 위한 대표적인 프레임워크 도구

  • 메모리 파일(덤프 파일)에서 휘발성 정보를 획득하기 위해 포렌식 분석에서 활용
  • 윈도우 환경, 유닉스(리눅스) 환경, MAC OS 환경 등 크로스 실행 가능
  • 32비트/64비트 윈도우즈XP, 윈도우즈 2003, 윈도우즈 비스타(Vista), 윈도우즈 7 계열 등 모든 메모리 분석 지원이 되며, 리눅스, 안드로이드, MAC OS 환경 프로파일도 포함
  • 단일 명령 콘솔 모드(Single-command line)과 인터랙티브 명령 콘솔(Interactive volshell) 지원

왜 볼라틸리티 인가?

  • 하나의 응집된 프레임워크
  • GPLv2 오픈 소스
  • 파이썬으로 작성
  • 윈도우, 리눅스, 맥 분석 시스템에서 실행
  • 확장 및 스크립트가 가능한 애플리케이션 프로그래밍 인터페이스
  • 탁월한 기능
  • 광범위한 파일 형식 지원
  • 빠르고 효과적인 알고리즘
  • 강력한 커뮤니티
  • 포렌식, 사고 대응, 악성코드 중점

volatility를 사용해 be2.vmem 메모리의 EPROCESS를 검색했다.

그림 1-1 volatility

KPROCESS 검색했다.

그림 1-2 KPROCESS

PEB를 검색했다.

그림 1-3 PEB

반응형
저작자표시 비영리 변경금지 (새창열림)

'포렌식 > 리눅스 포렌식' 카테고리의 다른 글

Stuxnet 분석  (0) 2020.12.30
Volatility BlackEnergy 분석  (0) 2020.12.28
백도어 시나리오  (0) 2020.12.25
DC3 Challange  (0) 2020.12.24

'포렌식/리눅스 포렌식' Related Articles

티스토리툴바