windows.handles
: 해당 프로세스가 열고 있는 핸들 출력
핸들 : windows에서 여러 오브젝트를 지칭하는 포인터
windows.dlllist
: 해당 프로세스가 이용하는 DLL 목록 출력
정상 프로세스에 악성 DLL 로드시켜 악성 동작을 수행하는 경우 DLL 목록을 확인해볼 수 있다.
특히 DLL 이름보다도 경로가 정상적인지 확인할 것 !!
python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw windows.dlllist --pid 2096 > dlllist_2096.log
windows.dumpfiles
: 파일을 덤프할 수 있는 명령어 (--pid)
--virtaddre 옵션 - 해당 가상 주소에 위치하는 파일 덤프
--physaddr 옵션 - 해당 물리 주소에 위치하는 파일 덤프
python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw -o .\2096\ windows.dumpfiles --pid 2096
실제 덤프된 파일들이 저장되어 있음 !!
[file.시작주소.끝주소.획득방법.원본파일이름.img]
windows.memmap
: 해당 프로세스의 메모리 구조를 알 수 있는 프러그인
--dump 옵션 - 해당 프로세스의 메모리 전체를 파일로 덤프하기 위해 사용됨
python Z:\Tools\volatility3\vol.py -c config.json -f .\Challenge.raw -o .\2096\ windows.memmap --pid 2096 --dump > memmap_2096.log
'Digital Forensics > Memory Forensics' 카테고리의 다른 글
| 프리패치 (0) | 2025.05.20 |
|---|---|
| [메모리 포렌식] 기타 플러그인 (3) (0) | 2025.04.26 |
| [메모리 포렌식] 프로세스 목록 확인하기 (0) | 2025.04.25 |
