[메모리 포렌식] Volatility 프레임워크 imageinfo 플러그인

이번에는 Volatility 프레임워크를 이용하여 분석할 메모리 파일의 운영체제 profile 정보를 확인하여 보겠습니다.

 

명령 프롬프트(cmd)에서 cd 명령어를 통하여 Volatility 프레임워크 압축을 푼 폴더로 이동합니다.

 

그리고 vol.py -f 1.vmem imageinfo 명령어를 입력합니다.

 

-f 옵션으로 1.vmem 파일을 선택하고, 이 메모리 파일에 대하여 imageinfo 플러그인을 적용하겠다는 의미입니다.

 

명령어를 입력하면 위와 같은 결과가 출력됩니다.

 

가장 먼저 나오는 Suggested Profile에서 메모리 파일의 운영체제 profile을 확인할 수 있습니다.

 

이외에 메모리 파일에 대한 덤프 시각, 운영체제 정보, 커널 정보 등을 확인할 수 있습니다.

 

1.vmem에서는 4개의 profile이 나오는데, 보통 서버에 대하여 메모리 덤프를 진행하지는 않습니다. (용량이 매우 큼)

 

보통 Windows 버전에 있어서 SP 버전이 가장 큰 profile을 선택하게 됩니다.

 

그러므로 1.vmem의 profile로 Win7SP1x64를 선택하면 되겠습니다.

 

이 profile을 이용하여, 앞으로 Volatility 프레임워크 플러그인을 사용할 때 기본 명령어 형태는

 

'vol.py(Volatility 프레임워크) -f(파일 선택 옵션) 1.vmem(분석할 메모리 파일) --profile=Win7SP1x64(profile 지정) pslist(플러그인)' 과 같은 형태로 진행됩니다.