디지털 포렌식 기초 - 5(volatility 명령어 정리)

Notice

Recent Posts

Recent Comments

Link

« 2024/10 »
일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Tags more

Archives

Today

Total

관리 메뉴

외로운 Nova의 작업실

디지털 포렌식 기초 - 5(volatility 명령어 정리) 본문

Digital Forensics

디지털 포렌식 기초 - 5(volatility 명령어 정리)

Nova_ 2022. 10. 29. 19:39

안녕하세요. volatility 명령어들을 까먹지 않기 위해 명령어들을 정리하려 합니다.

iamageinfo : 운영체제 식별

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss imageinfo

- 프로세스 보기
pslist : 시간순소대로 프로세스 검색
psscan : 숨겨진 프로세스 출력
pstree : 부모,자식 순으로 구조화하여 프로세스를 출력
pscview : pslist, psscan을 포함한 도구들의 결과를 한눈에 볼 수 있습니다.

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 pslist > pslist.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 psscan > psscan.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 pstree > pstree.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 psxview > psxview.log

- 네트워크 보기
netscan : window 7이상, tcp,udp,ipv4,ipv6 프로토콜의 통신을 모두 분석해줍니다.
connections : window 7 미만, 현재 연결된 tcp 통신에대한 정보

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 netscan > netscan.log

- cmd 보기
cmdscan, consoles : 콘솔에 입력한 값들을 볼 수 있음
cmdline : 프로세스가 실행될때 인자값들을 확인 할 수 있음

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 cmdline > cmdline.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 cmdscan > cmdscan.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 consoles > consoles.log

- 파일들 보기
filescan : 메모리내에 존재하는 모든 파일들의 리스트 출력
dumpfiles : 파일을 덤프. 옵션으로 메모리주소, 프로세스를 볼 수 있습니다.

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 filescan | findstr w.tmp
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 dumpfiles -Q 0x000000003eca37f8 -D ./

- 프로세스 내용 보기
memdump : 특정 프로세스의 메모리 영역을 덤프 -> stirngs 사용합니다.
procdump : 프로세스의 실행파일을 추출합니다.

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 memdump -p 3196 -D ./dumps

'Digital Forensics' 카테고리의 다른 글

[ctf-d] Disk - 이벤트 예약 웹사이트를 운영하고.. 풀이 (0)	2023.02.19
디지털 포렌식 기초 - 5(grrcon 2015#1 침해 분석) (0)	2022.10.28
디지털 포렌식 기초 - 4(malware cridex 침해 분석) (2)	2022.10.26
디지털 포렌식 기초 - 3(파일 복구, 침해 분석 문제 다운로드 및 준비) (0)	2022.10.26
디지털 포렌식 기초 - 2(이미지 덤프와 마운트, 기초도구) (0)	2022.10.25

'Digital Forensics' Related Articles

Comments

외로운 Nova의 작업실

디지털 포렌식 기초 - 5(volatility 명령어 정리) 본문

디지털 포렌식 기초 - 5(volatility 명령어 정리)

'Digital Forensics' 카테고리의 다른 글

티스토리툴바