#메모리 포렌식 #볼라틸리티 #Volatility #라이브 포렌식
파란색 - 입력 값
빨간색 - 플러그인
1. python vol.py -f <dump_file> --profile=<profile> <plugin> [args]
다음은 볼라틸리티(volatility)의 기본 명령어 형태이다.
프로파일을 지정하지 않을 경우 기본 프로파일인 WinXPSP2x86으로 동작한다.
2. python vol.py <plugin> --help
플러그인의 명령어를 보기 위해서는 플러그인의 이름과 -h/--help를 추가하면 된다.
3. python vol.py -f <dump_file> imageinfo
각 시스템마다 사용해야 할 데이터 구조, 알고리즘, 심볼들이 다르기 때문에 메모리 덤프가 어느 시스템에서 수집되었는지 프로파일을 알려주는 명령어다.
4. python vol.py -f <dump_file> kdbgscan
5. python vol.py -f <dump_file> filescan
5. python vol.py -f <dump_file> dumpfiles -Q 0x0000~~~ -D ./
지속적인 업데이트 예정입니다.
'# technic > - forensics' 카테고리의 다른 글
| 컴퓨터 발전과정 및 프로세스 구조 (0) | 2016.10.12 |
|---|---|
| 디지털 포렌식의 일반원칙과 전자적 증거의 진정성 (0) | 2016.10.12 |
| [디포2급] 정선문제 필기 정리 (0) | 2016.05.06 |
| .. (0) | 2016.04.21 |
| 잡지식 (0) | 2016.04.20 |
