[메모리포렌식] volatility 사용법
tools 2018. 9. 20. 11:19 |https://www.volatilityfoundation.org/
volatility-2.5.zip> stand-alone 등 기타 버전 다운로드는 : https://www.volatilityfoundation.org/releases
# 사용 시 주의사항
- 최상위 경로(/)에서 작업하는 것이 좋음 - 한글이 포함된 디렉토리 하위에 있는 경우 정상적으로 동작하지 않을 수 있음
vol.py => volatility 실행 파이썬 코드
vol.py -f FILENAME imageinfo
vol.py -f FILENAME --profile=LinuxUbuntu14045x64
# 프로파일 추가 방법
- 리눅스는 기본적으로 저장되어 있지 않음
- https://github.com/volatilityfoundation/profiles 여기에서 다운로드 필요
- 저장경로 : volatility(vol.py) 실행 파일 위치를 기준으로 ./volatility/plugins/overlays
- 다운 받은 후 Linux, Mac 각 이미지 별 압축 파일 해제 없이 복붙 하면됨
#stand-alone profile 사용법
./volatility_2.5_linux_x64 --plugins=profiles --info
--plugins 옵션으로 profiles 디렉토리에 다운로드한 프로파일 zip을 넣어 실행함
vol.py --info
프로파일 목록 확인 가능
vol.py -f file.raw --profile=Win7SP1x86 pslist > pslist.txt
vol.py -f file.raw --profile=Win7SP1x86 psscan > psscan.txt
./volatility_2.5_linux_x64 --plugins=profile -f Ubuntu.mem imageinfo
## 윈도우 메모리 덤프 툴(Dumpit) : http://infomogul12.tistory.com/6
'tools' 카테고리의 다른 글
| [침해사고대응] 휘발성 증거 수집 Incident Response(Live Response) (0) | 2017.06.14 |
|---|---|
| [메모리포렌식] DumpIt_v1.3.2 (0) | 2017.06.14 |
| [decompiler] ILSpy .NET Decompiler (0) | 2017.06.14 |