티스토리 뷰
◎ Crash Dumps, Hibernation and Conversion : 크래쉬 덤프, 하이버네이션 정보확인 및 파일변환
> crashinfo : Crash dump header 정보를 출력해주는 명령어입니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 crashinfo |
> hibinfo : Hibernation file 로 부터 정보를 출력해주는 명령어입니다.
- Hibernation file 로 부터 Control Register 상태, file 생성시간, 상태, Hibernation 직전의 해당 Windows Version 과 같은 정보를 제공해주는 명령어입니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 hibinfo |
> imagecopy : 크래시/BSOD 등의 분석불가능한 덤프파일을 분석가능한 덤프파일로 바꿔주는 명령어입니다.
- Windows XP SP2 가 아니라면 --profile Option 을 통하여 Profile 을 지정해줘야 하며, -O Option 을 통하여 output file 을 지정할 수 있습니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 imagecopy -O Win7SP1x64.raw |
> raw2dmp : physical memory 덤프를 crash dump로 변환하는 명령어입니다.
- WinDbg 커널 디버거에서 메모리를 불러올 때 유용합니다.
| # python vol.py -f image.vmem --profile=Win7SP1x64 raw2dmp -O copy.dmp |
Volatility 볼라틸리티 2.1 Plugins - 윈도우#01
◎ Image Identification : 이미지 식별
Volatility 볼라틸리티 2.1 Plugins - 윈도우#02
◎ Processes and DLLs : 프로세스와 DLLs 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#03
◎ Process Memory : 프로세스 메모리 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#04
◎ Kernel Memory and Objects : 커널 메모리와 오브젝트 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#05
◎ Networking : 네트워크 정보
Volatility 볼라틸리티 2.1 Plugins - 윈도우#06
◎ Registry : 단지 Registry data를 추출하는데 도움을 줍니다.
Volatility 볼라틸리티 2.1 Plugins - 윈도우#07
◎ Crash Dumps, Hibernation and Conversion : 크래쉬 덤프, 하이버네이션 정보확인 및 파일변환
Volatility 볼라틸리티 2.1 Plugins - 윈도우#08
◎ Malware and Rootkits : 맬웨어와 루트킷 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#09
◎ Miscellaneous : 기타 등등
'포렌식 > Volatility' 카테고리의 다른 글
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#09 (0) | 2021.03.31 |
|---|---|
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#08 (0) | 2021.03.30 |
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#06 (0) | 2021.03.29 |
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#05 (0) | 2021.03.26 |
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#04 (0) | 2021.03.23 |