Volatility 볼라틸리티 2.1 Plugins - 윈도우#07

◎ Crash Dumps, Hibernation and Conversion : 크래쉬 덤프, 하이버네이션 정보확인 및 파일변환
 > crashinfo : Crash dump header 정보를 출력해주는 명령어입니다.

# python vol.py -f image.vmem --profile=Win7SP1x64 crashinfo

 

 > hibinfo : Hibernation file 로 부터 정보를 출력해주는 명령어입니다.
  - Hibernation file 로 부터 Control Register 상태, file 생성시간, 상태, Hibernation 직전의 해당 Windows Version 과 같은 정보를 제공해주는 명령어입니다.

# python vol.py -f image.vmem --profile=Win7SP1x64 hibinfo

 

 > imagecopy : 크래시/BSOD 등의 분석불가능한 덤프파일을 분석가능한 덤프파일로 바꿔주는 명령어입니다.
  - Windows XP SP2 가 아니라면 --profile Option 을 통하여 Profile 을 지정해줘야 하며, -O Option 을 통하여 output file 을 지정할 수 있습니다.

# python vol.py -f image.vmem --profile=Win7SP1x64 imagecopy -O Win7SP1x64.raw

 

 > raw2dmp : physical memory 덤프를 crash dump로 변환하는 명령어입니다.
  - WinDbg 커널 디버거에서 메모리를 불러올 때 유용합니다.

# python vol.py -f image.vmem --profile=Win7SP1x64 raw2dmp -O copy.dmp

 

Volatility 볼라틸리티 2.1 Plugins - 윈도우#01

◎ Image Identification : 이미지 식별

Volatility 볼라틸리티 2.1 Plugins - 윈도우#02

◎ Processes and DLLs : 프로세스와 DLLs 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#03

◎ Process Memory : 프로세스 메모리 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#04

◎ Kernel Memory and Objects : 커널 메모리와 오브젝트 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#05

◎ Networking : 네트워크 정보
Volatility 볼라틸리티 2.1 Plugins - 윈도우#06

◎ Registry : 단지 Registry data를 추출하는데 도움을 줍니다.
Volatility 볼라틸리티 2.1 Plugins - 윈도우#07

◎ Crash Dumps, Hibernation and Conversion : 크래쉬 덤프, 하이버네이션 정보확인 및 파일변환
Volatility 볼라틸리티 2.1 Plugins - 윈도우#08

◎ Malware and Rootkits : 맬웨어와 루트킷 분석
Volatility 볼라틸리티 2.1 Plugins - 윈도우#09

◎ Miscellaneous : 기타 등등