volatility

vol.py파일을 이용하여 리눅스에서 실행할 것이다.

imageinfo - 대부분의 경우 이 명령어는 운영시스템이나 서비스팩, 그리고 하드웨어 구조(32 또는 64 비트)를 식별하기 위해 쓰였지만 DTB 주소나 수집된 샘플의 시간과 같은 유용한 정보도 담고 있다. Imageinfo 출력값은 다른 플러그인을 사용할 때 --profile=PROFILE­­­­을 파라미터로 해야만 하는 제안된 프로파일을 알려 준다.

위와 같이 운영체제를 알 수 있으며, --profile=Win7SP1x86와 같이 사용하면 된다.

pslist - 시스템의 프로세스들을 열거하기 위해 pslist 명령어를 사용한다. 오프셋, 프로세스 이름, 프로세스 ID, 부모 프로세스 ID, 쓰레드의 수, 핸들의 수, 프로세스 시작 시간과 종료 시간을 보여 준다

pstree - 트리 형태로 프로세스를 목록화해서 보기위해 pstree 명령어를 사용한다. 이는 pslist 와 같은 방식을 사용하여 프로세스들을 열거하기에, pslist 와 마찬가지로 숨겨지거나 연결이 끊어진 프로세스들을 보여주지 않는다. 자식 프로세스들은 공백과 마침표를 이용하여 표기한다.

dlllist - 한 프로세스에서 로드된 DLL 들을 보기 위해 dlllist 명령어를 사용한다. 모든 프로세스들 대신에 특정 프로세스의 DLL 들을 보기 위해 아래와 같이 -p 또는 -pid 필터를 사용한다

printkey - 레지스트리 키값을 보여준다.

(S)하위 키값들이며 하위 키값을 살펴보기 위해서는 경로 끝에 원하는 키를 넣어주면 해당 키의 값이 나오게 된다.

사용자 계정 레지스트리 값

Microsoft\Windows NT\CurrentVersion\Profilelist\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000

S-1-5-18 - 시스템 프로필(system profile)
S-1-5-19 - 로컬 서비스(Local Service)
S-1-5-20 - 네트워크 서비스(Network Service

메모리 포렌식 도구 목록

아마도 분석을 하면서 알게 된 내용이나 낙서장 용도로 자주 사용할 예정이다.