EnCase

[EnCase] 메모리 포렌식(RAM Forensics) (2)

도깬리 2022. 7. 22. 07:00

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 메모리 분석 2번째 시간이네요. 모두 화이팅 하세요.

 

RAM 이미지에서 프로세스 목록 추출하기

volatility pslist -f RAM.dd

실행파일이 RAM에서 실행될 때의 메모리 오프셋 뿐만 아니라 PID(Process ID), PPID(Parent Process ID)를 알 수 있으며, 로컬 컴퓨터에서 해당 프로세스가 시작되었던 시간도 확인 가능합니다.

다만, PPID를 갖고 있지 않은 것도 있을 수 있습니다.

그 이유는 부모 프로세스가 이 프로세스를 생겨나게 했다 하더라도, 그 이후에 종료되어 프로세스 목록에 레코드가 없을 수도 있기 때문입니다.

 

 

volatility pstree -f RAM.dd

pslist 명령어를 실행하는 결과와 동일한 결과값을 보여 주지만, 좀더 알아보기 쉬운 포맷으로 보여줍니다.

 

 

RAM 이미지에서 모든 DLL 목록 확인하기

volatility dlllist -f RAM.dd

특정한 프로세스에 의해 야기되는 모든 DLL에 대한 목록을 확인할 수 있습니다.

) olatility dlllist -f RAM.dd p 3964

 

RAM 이미지에서 열려 있는 소켓 목록 확인하기

volatility dlllist -f RAM.dd

특정 PID에 대한 열린 포트(port)를 확인 가능합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics