![]()
windows.cmdline: 사용자가 프로세스를 실행할 때 입력했던 명령어 출력 python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw windows.cmdline > cmdline.log windows.filescan : 메모리에 존재하는 모든 파일 목록 출력 플러그인 - 플러그인을 통해 출력한 파일은 주소(offset)와 함께 출력되고, 해당 주소를 이용해 windows.dumpfiles 플러그인으로 파일을 덤프할 수 있다 ! 찾은 파일을 복구하고 싶으면 windows.dumpfiles로 offset 주소를 덤프해야 함 python Z:\Tools\volatility3\vol.py -c config.json -f .\Challe..
![]()
windows.handles : 해당 프로세스가 열고 있는 핸들 출력 핸들 : windows에서 여러 오브젝트를 지칭하는 포인터 windows.dlllist: 해당 프로세스가 이용하는 DLL 목록 출력 정상 프로세스에 악성 DLL 로드시켜 악성 동작을 수행하는 경우 DLL 목록을 확인해볼 수 있다.특히 DLL 이름보다도 경로가 정상적인지 확인할 것 !! python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw windows.dlllist --pid 2096 > dlllist_2096.log windows.dumpfiles : 파일을 덤프할 수 있는 명령어 (--pid)--virtaddre 옵션 - 해당 가상 주소에 위치하는 ..
![]()
volaltility 에서는 config.json 저장해두고, 다음 호출 때에는 설정 정보를 이용해 더 빠르게 분석하는 것이 가능!! windows.pslist : 프로세스 목록 출력 PS C:\mem> python Z:\Tools\volatility3\vol.py -c config.json -f Z:\Tools\volatility3\Challenge.raw windows.pslist > pslist.log PID / PPID : 프세세스 ID 및 부모의 프로세스 IDImageFileName : 프로세스 이름 CreateTime : 프로세스 생성 시간 windows.psscan - pslist가 더 빠르지만, 악성코드에 의한 조작에 취약 - pslist에서는 표시되지 않는 프로세스가 psscan에서..
