Volatility 정리

Volatility?

• 메모리 포렌식 도구
• 오픈 소스
• CLI 인터페이스
• 버전 3까지 공개되어 있으나 아직까지 2를 주로 사용 - 안정

​

명령어 정리

​

운영체제 식별

- imageinfo : 메모리 덤프의 운영체제를 식별

​

프로세스 검색

pslist : 시간 순서대로 보여줌

psscan : 숨겨진 프로세스 출력 가능

pstree : PID, PPID 기준으로 구조화하여 보여줌

psxview : pslist, psscan을 포하한 도구들의 결과를 한 눈에 볼 수 있음

​

네트워크 분석

netscan

• window 7 이상
• TCP UDP / IPv4 IPv6
• listening(소켓을 열고 있는 상태) , established(소켓이 열려서 통신 중인 상태), closed(소켓이 닫힌 상태)

connections

• windows 7 미만
• 현재 연결된 TCP 통신에 대한 정보 - established 상태만 출력

sockets

• windows 7 미만
• TCP,UDP를 포함한 모든 프로토콜
• 현재 Listening 상태에 있는 소켓을 출력

​

cmd 분석

• cmdscan, consoles : 콘솔에 입력한 값들을 볼 수 있음 , consoles 는 출력도 볼 수 있음
• cmdline : 프로세스가 실행될 때의 인자값을 확인할 수 있음

​

파일 분석 및 덤프

• filescan : 메모리 내에 존재하는 모든 파일들의 리스트 출력
• dumpfiles : 파일 덤프. 옵션으로 메모리 주소, 프로세스를 줄 수 있음. -p 옵션을 주면 해당하는 모든 파일을 뽑아줌

​

프로세스 세부 분석

• memdump : 특정 프로세스의 메모리 영역을 덤프 -> strings 사용
• procdump : 프로세스의 실행 파일을 추출

​

악성 프로그램 식별

• virustotal 주로 사용
• windows defender도 정확한 편