이번에는 Volatility 프레임워크를 이용하여 분석할 메모리 파일의 운영체제 profile 정보를 확인하여 보겠습니다.
명령 프롬프트(cmd)에서 cd 명령어를 통하여 Volatility 프레임워크 압축을 푼 폴더로 이동합니다.
그리고 vol.py -f 1.vmem imageinfo 명령어를 입력합니다.
-f 옵션으로 1.vmem 파일을 선택하고, 이 메모리 파일에 대하여 imageinfo 플러그인을 적용하겠다는 의미입니다.
명령어를 입력하면 위와 같은 결과가 출력됩니다.
가장 먼저 나오는 Suggested Profile에서 메모리 파일의 운영체제 profile을 확인할 수 있습니다.
이외에 메모리 파일에 대한 덤프 시각, 운영체제 정보, 커널 정보 등을 확인할 수 있습니다.
1.vmem에서는 4개의 profile이 나오는데, 보통 서버에 대하여 메모리 덤프를 진행하지는 않습니다. (용량이 매우 큼)
보통 Windows 버전에 있어서 SP 버전이 가장 큰 profile을 선택하게 됩니다.
그러므로 1.vmem의 profile로 Win7SP1x64를 선택하면 되겠습니다.
이 profile을 이용하여, 앞으로 Volatility 프레임워크 플러그인을 사용할 때 기본 명령어 형태는
'vol.py(Volatility 프레임워크) -f(파일 선택 옵션) 1.vmem(분석할 메모리 파일) --profile=Win7SP1x64(profile 지정) pslist(플러그인)' 과 같은 형태로 진행됩니다.
'디지털 포렌식 (Forensic) > 메모리 포렌식 (Memory)' 카테고리의 다른 글
[메모리 포렌식] Volatility 프레임워크 memdump 플러그인 (0) | 2020.10.30 |
---|---|
[메모리 포렌식] Volatility 프레임워크 pslist, psscan, pstree, psxview 플러그인 (0) | 2020.10.06 |
[메모리 포렌식] Volatility 프레임워크 설치 방법 (Windows 10) (0) | 2020.10.06 |