티스토리 뷰
◎ Registry : 단지 Registry data를 추출하는데 도움을 줍니다.
> hivescan : Memory Dump로부터 CMHIVEs(Registry hives)의 Physical address를 찾아주는 명령어입니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 hivescan |
> hivelist : Memory Dump 로 부터 레지스터 하이브(Registry hives)의 가상 메모리 주소(Virtual address)와 Disk 상의 절대 경로를 알려주는 명령어입니다.
- 만약 특정 하이브로부터 값을 표기하기 원한다면, 이 명령어를 실행시켜서 해당 되는 하이브 주소 값을 볼 수 있으며, 이 명령어를 통하여 Windows password를 크랙 할 수 있게 됩니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 hivelist |
> printkey : 특정 Registry key 의 subkeys, values, data, data type를 보여주는 명령어입니다.
- 기본적으로 printkey 는 모든 hives로 부터 검색을 하여 찾아진 key information을 출력하므로, HKEY_LOCAL_MACHINE\Microsoft\Security Center\Svc key 안을 둘러보고 싶다면 -K Option을 통하여 포함 문자열을 함께 적어 주는 것이 좋습니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 printkey -K "Microsoft\Security Center\Svc" |
- 특정한 하이브를 검색하는데 제한이 있다면, printkey는 하이브의 가상 주소를 통해 확인할 수 있으며, HKEY_LOCAL_MACHINE의 내용을 보고 싶다면 -o Option을 사용하면 됩니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a000000000 |
> hivedump : hive로부터 모든 subkey를 list 형태로 보여주는 명령어입니다.
- 명령어 라인에 -o Option을 통해 원하는 hive의 Virtual address를 지정해 주면 해당 hive에 대한 subkey를 list 형태로 출력 가능합니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a000000000 |
> hashdump : 주로 SAM File을 추출할 때 쓰이는 명령어입니다.(Windows password 크랙)
- SYSTEM hive의 Virtual address를 -y Option을 통해 넣어주고 SAM hive의 Virtual address를 -s Option을 넣어줍니다.
- Memory Dump로부터 registry key를 읽을 수 없는 경우는 "ERROR : volatility.plugins.registry.lsadump: Unable to rad hashes from registry"와 같은 Error를 확인할 수 있습니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 hashdump -y [system의 virtual 주소] -s [sam의 virtual 주소] |
- 만약 SYSTEM의 "CurrentControlset\Control\lsa"와 SAM의 "Domains\Account\"에 올바른 key가 존재하는 것을 확인 가능하다면 volshell을 이용해 "CurrentControlSet"을 받아야 합니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 volshell |
- 그 후, printkey 명령어를 사용하여 해당 data와 keys가 존재하는지 확인 가능합니다. 만약 key가 없다면 "The requested key could not be found in the hive(s) searched"라는 Error를 확인할 수 있습니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\lsa" --no-cache # python vol.py -f image.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account" --no-cache |
> lsadump : Registry로부터 LSA dump를 수행하는 명령어입니다.
- Default password, RDP public key, DPAPI credentials 등의 정보를 출력 가능합니다.
- SYSTEM hive의 Virtual address를 -y Option을 통해 넣어주고 SECURITY hive의 Virtual address를 -s Option을 통해 넣어주면 출력이 가능합니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 lsadump -y 0x00000000 -s 0x00000000 |
> userassist : 메모리 덤프 파일에서 UserAssist 관련 레지스트리 키 정보 추출하는 명령어입니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 userassist |
> shellbags : ShellBags 정보를 추출하는 명령어입니다.
- 특정 사용자가 호스트에서 수행 한 파일 또는 폴더 작업을 확인하는 데 매우 유용한 방법입니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 shellbags # python vol.py -f image.vmem --profile=Win7SP1x64 shellbags --output=body |
> shimcache : Application Compatibility Shim Cache 레지스트리 키를 분석하는 명령어입니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 shimcache |
> getservicesids : 컴퓨터의 서비스에 대한 SID를 계산하고 나중에 사용할 수 있도록 Python 사전 형식으로 출력합니다.
- 서비스 이름은 레지스트리 ( "SYSTEM\CurrentControlSet\Services")에서 가져옵니다.
- 출력을 파일에 저장하려면 --output-file 옵션을 사용하면 됩니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 getservicesids |
Volatility 볼라틸리티 2.1 Plugins - 윈도우#01
◎ Image Identification : 이미지 식별
Volatility 볼라틸리티 2.1 Plugins - 윈도우#02
◎ Processes and DLLs : 프로세스와 DLLs 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#03
◎ Process Memory : 프로세스 메모리 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#04
◎ Kernel Memory and Objects : 커널 메모리와 오브젝트 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#05
◎ Networking : 네트워크 정보
Volatility 볼라틸리티 2.1 Plugins - 윈도우#06
◎ Registry : 단지 Registry data를 추출하는데 도움을 줍니다.
Volatility 볼라틸리티 2.1 Plugins - 윈도우#07
◎ Crash Dumps, Hibernation and Conversion : 크래쉬 덤프, 하이버네이션 정보확인 및 파일변환
Volatility 볼라틸리티 2.1 Plugins - 윈도우#08
◎ Malware and Rootkits : 맬웨어와 루트킷 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#09
◎ Miscellaneous : 기타 등등
'포렌식 > Volatility' 카테고리의 다른 글
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#08 (0) | 2021.03.30 |
|---|---|
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#07 (0) | 2021.03.29 |
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#05 (0) | 2021.03.26 |
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#04 (0) | 2021.03.23 |
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#03 (0) | 2021.03.22 |