728x90
반응형
이번에는 Volatility의 플러그인인 memdump에 대하여 알아보겠습니다.
Volatility의 vol.py -h 명령어로 매뉴얼을 살펴보면
위와 같이 적혀있습니다. 말 그대로 프로세스의 메모리를 dump하는 명령어입니다.
memdump 명령어를 사용하는 방법은 아래와 같습니다.
vol.py(Volatility 프레임워크) -f(파일 선택 옵션) Target1-1dd8701f.vmss(분석할 메모리 파일) --profile=Win7SP0x86(profile 지정) memdump(memdump 플러그인) -p(pid 지정 옵션) 3196(프로세스의 pid) -D(저장할 디렉토리 옵션) ./(현재 위치)
와 같은 형태로 적어주시면 됩니다.
728x90
반응형
'디지털 포렌식 (Forensic) > 메모리 포렌식 (Memory)' 카테고리의 다른 글
| [메모리 포렌식] Volatility 프레임워크 pslist, psscan, pstree, psxview 플러그인 (0) | 2020.10.06 |
|---|---|
| [메모리 포렌식] Volatility 프레임워크 imageinfo 플러그인 (0) | 2020.10.06 |
| [메모리 포렌식] Volatility 프레임워크 설치 방법 (Windows 10) (0) | 2020.10.06 |
