디지털 포렌식 (Forensic) (64) 썸네일형 리스트형 [메모리 포렌식] Volatility 프레임워크 pslist, psscan, pstree, psxview 플러그인 이번에는 메모리 포렌식에 사용되는 Volatility 프레임워크의 프로세스 정보를 보여주는 플러그인을 알아보겠습니다. 플러그인을 사용하기 위해 앞에서 배운 imageinfo 플러그인을 사용하여 구한 메모리 파일의 profile 정보가 필요합니다. 먼저 vol.py -h 명령어로 플러그인들의 설명을 읽어보겠습니다. 그럼 vol.py -f 1.vmem --profile=Win7SP1x64 pslist 명령어로 pslist 플러그인을 살펴보겠습니다. pslist 플러그인은 설명처럼 현재 작동중인 모든 프로세스들을 출력해줍니다. Offset 주소와 PID, PPID 등과 같은 정보도 함께 출력됩니다. 다음으로 vol.py -f 1.vmem --profile=Win7SP1x64 psscan 명령어로 psscan .. [메모리 포렌식] Volatility 프레임워크 imageinfo 플러그인 이번에는 Volatility 프레임워크를 이용하여 분석할 메모리 파일의 운영체제 profile 정보를 확인하여 보겠습니다. 명령 프롬프트(cmd)에서 cd 명령어를 통하여 Volatility 프레임워크 압축을 푼 폴더로 이동합니다. 그리고 vol.py -f 1.vmem imageinfo 명령어를 입력합니다. -f 옵션으로 1.vmem 파일을 선택하고, 이 메모리 파일에 대하여 imageinfo 플러그인을 적용하겠다는 의미입니다. 명령어를 입력하면 위와 같은 결과가 출력됩니다. 가장 먼저 나오는 Suggested Profile에서 메모리 파일의 운영체제 profile을 확인할 수 있습니다. 이외에 메모리 파일에 대한 덤프 시각, 운영체제 정보, 커널 정보 등을 확인할 수 있습니다. 1.vmem에서는 4개의.. [메모리 포렌식] Volatility 프레임워크 설치 방법 (Windows 10) 이번에는 메모리 포렌식에 사용되는 Volatility 프레임워크의 사용법을 알아보겠습니다. 먼저 Volatility 프레임워크는 파이썬 2.x 버전에서 구동되기 때문에 3.x 버전을 사용중이라면 버전을 변경해주어야 합니다. Volatility Foundation(www.volatilityfoundation.org/)에서 Volatility 프레임워크를 다운받을 수 있습니다. 다운로드가 완료되면 원하는 경로에 압축을 풀면 됩니다. Volatility 프레임워크의 압축을 풀면 위와 같은 파일들이 있습니다. 1.vmem 파일은 분석을 위하여 제가 별도로 Volatility 폴더 안에 넣어놓은 메모리 파일입니다. 압축을 풀었으면 명령 프롬프트에서 cd 명령어를 통하여 Volatility 폴더로 이동해줍니다. 그.. [디지털포렌식] 디지털포렌식 실습 도구 살펴보기 7z - 압축을 풀어주는 압축 도구. ac-820a - 타임라인을 조작할 수 있는 안티포렌식 도구. AccessData FTK Imager - AccessData에서 무료로 제공하는 이미지, 덤프를 확인할 수 있는 무료 소프트웨어. CCleaner, 고클린, 등등 클리너 도구 - 개인 정보를 보호하는 도구로 활용 가능. 안티 포렌식 도구로 여겨질 수도 있음. 아티팩트들, 웹 사용 기록, 문서 열람 기록, 레지스트리, 임시 데이터 등과 같은 정보들을 한 번에 삭제 가능. forevid - 영상 분석에 쓰이는 무료 소프트웨어. 영상 분석에서 프레임 단위로 분석할 때 사용. 안티포렌식 도구. FTK-Forensic_Toolkit - 포렌식 툴킷은 1.81버전 까지는 무료로 사용 가능. FTK Imager를 제.. 이전 1 ··· 4 5 6 7 다음
