[메모리 포렌식] Volatility 프레임워크 설치 방법 (Windows 10)

이번에는 메모리 포렌식에 사용되는 Volatility 프레임워크의 사용법을 알아보겠습니다.

 

먼저 Volatility 프레임워크는 파이썬 2.x 버전에서 구동되기 때문에 3.x 버전을 사용중이라면 버전을 변경해주어야 합니다.

 

Volatility Foundation(www.volatilityfoundation.org/)에서 Volatility 프레임워크를 다운받을 수 있습니다.

 

다운로드가 완료되면 원하는 경로에 압축을 풀면 됩니다.

 

Volatility 프레임워크의 압축을 풀면 위와 같은 파일들이 있습니다.

 

1.vmem 파일은 분석을 위하여 제가 별도로 Volatility 폴더 안에 넣어놓은 메모리 파일입니다.

 

압축을 풀었으면 명령 프롬프트에서 cd 명령어를 통하여 Volatility 폴더로 이동해줍니다.

 

그리고 vol.py -h 명령어를 사용해서 Volatility 프레임워크의 사용법을 확인합니다.

 

사용법이 정상적으로 출력된다면 프레임워크가 잘 작동한다고 볼 수 있습니다.

 

사용법을 보면 수많은 플러그인들이 존재하는데, 앞으로 이 중 대표적인 몇 가지만 살펴보겠습니다.