안녕하세요. 도깬리 포렌식스 입니다.
오늘은 메모리 분석 2번째 시간이네요. 모두 화이팅 하세요.
RAM 이미지에서 프로세스 목록 추출하기
volatility pslist -f RAM.dd
실행파일이 RAM에서 실행될 때의 메모리 오프셋 뿐만 아니라 PID(Process ID), PPID(Parent Process ID)를 알 수 있으며, 로컬 컴퓨터에서 해당 프로세스가 시작되었던 시간도 확인 가능합니다.
다만, PPID를 갖고 있지 않은 것도 있을 수 있습니다.
그 이유는 부모 프로세스가 이 프로세스를 생겨나게 했다 하더라도, 그 이후에 종료되어 프로세스 목록에 레코드가 없을 수도 있기 때문입니다.
volatility pstree -f RAM.dd
pslist 명령어를 실행하는 결과와 동일한 결과값을 보여 주지만, 좀더 알아보기 쉬운 포맷으로 보여줍니다.
RAM 이미지에서 모든 DLL 목록 확인하기
volatility dlllist -f RAM.dd
특정한 프로세스에 의해 야기되는 모든 DLL에 대한 목록을 확인할 수 있습니다.
예) olatility dlllist -f RAM.dd –p 3964
RAM 이미지에서 열려 있는 소켓 목록 확인하기
volatility dlllist -f RAM.dd
특정 PID에 대한 열린 포트(port)를 확인 가능합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
[EnCase] 볼륨 새도우 카피 (Volume Shadow Copy, VSC) 분석 (1) (0) | 2022.07.27 |
---|---|
[EnCase] 메모리 포렌식(RAM Forensics) (3) (0) | 2022.07.25 |
[EnCase] 메모리 포렌식(RAM Forensics) (1) (0) | 2022.07.19 |
[EnCase] 프리페치(Prefetch) 분석 (3) (0) | 2022.07.17 |
[EnCase] 프리페치(Prefetch) 분석 (2) (0) | 2022.07.11 |