volaltility 에서는 config.json 저장해두고, 다음 호출 때에는 설정 정보를 이용해 더 빠르게 분석하는 것이 가능!!
windows.pslist
: 프로세스 목록 출력
PS C:\mem> python Z:\Tools\volatility3\vol.py -c config.json -f Z:\Tools\volatility3\Challenge.raw windows.pslist > pslist.log
PID / PPID : 프세세스 ID 및 부모의 프로세스 ID
ImageFileName : 프로세스 이름
CreateTime : 프로세스 생성 시간
windows.psscan
- pslist가 더 빠르지만, 악성코드에 의한 조작에 취약
- pslist에서는 표시되지 않는 프로세스가 psscan에서는 표시될 수 있음 !
- pslist = "살아 있는 프로세스만 깔끔하게 목록화"
- psscan = "메모리 구석구석 찾아서 살아있거나 죽은 흔적까지 다 긁어모음"
| pslist | 운영체제(OS) 안에서 살아 있는(active) 프로세스 리스트를 출력 | 커널의 활성화된 프로세스 목록 기반, 정상적으로 연결된 프로세스만 나옴 |
| psscan | 메모리 전체를 스캔해서, 삭제되었거나 숨겨진(hidden) 프로세스도 발견 | 연결 상태 무시, "죽은 프로세스"도 찾을 수 있음 |
window.pstree
- 프로세스 목록을 tree 형태로 출력
- 다른 플러그인과 달리 프로세스의 실행 경로와 커맨드를 확인할 수 있다 !
프로세스 분석 방법
1. 수상한 프로세스 이름을 찾는다
| System | (커널 프로세스 – 파일 아님) | Windows 핵심 커널 |
| smss.exe | C:\Windows\System32\smss.exe | 세션 관리자 |
| csrss.exe | C:\Windows\System32\csrss.exe | 사용자 모드 그래픽/콘솔 처리 |
| wininit.exe | C:\Windows\System32\wininit.exe | 시스템 초기화 |
| services.exe | C:\Windows\System32\services.exe | 서비스 관리자 |
| lsass.exe | C:\Windows\System32\lsass.exe | 로그인 인증 서비스 |
| svchost.exe | C:\Windows\System32\svchost.exe | 서비스 호스팅 |
| explorer.exe | C:\Windows\explorer.exe | 윈도우 UI |
| winlogon.exe | C:\Windows\System32\winlogon.exe | 사용자 로그인 |
| dwm.exe | C:\Windows\System32\dwm.exe | 데스크탑 창 관리자 |
| conhost.exe | C:\Windows\System32\conhost.exe | 콘솔 창 호스트 |
| taskhostw.exe | C:\Windows\System32\taskhostw.exe | 작업 처리 호스트 |
| cmd.exe | C:\Windows\System32\cmd.exe | 명령 프롬프트 |
| powershell.exe | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | 파워셸 실행 |
2. 부모 프로세스가 정상적이지 않은 프로세스 찾기
정상적인 이름이어도 부모 프로세스가 정상적이지 않은 경우가 많다
ex) 악성코드의 코드의 경우 콘솔을 통해 실행되어 , conhost.exe나 cmd.exe를 부모로 가지기도 한다.
3. 실행 경로가 정상적이지 않은 프로세스 찾기
⚠️ 의심해야 할 상황
- 경로가 System32가 아닌 다른 위치에 있을 경우 (예: C:\Users\...\csrss.exe)
- 이름은 같지만 철자가 살짝 다른 경우
예: lsass.exe → lsas.exe, svhost.exe (정상은 svchost.exe) - 비정상적인 커맨드 라인, 너무 긴 인자, 인코딩된 문자열 포함
- 부모 프로세스가 이상한 경우 (예: explorer.exe가 smss.exe의 부모)
'Digital Forensics > Memory Forensics' 카테고리의 다른 글
| 기기 연결 흔적 찾기 (0) | 2025.05.22 |
|---|---|
| 프리패치 (0) | 2025.05.20 |
| [메모리 포렌식] 기타 플러그인 (3) (0) | 2025.04.26 |
| [메모리 포렌식] 프로세스 덤프 분석 플러그인 (2) (0) | 2025.04.25 |
