안녕하세요. 도깬리 포렌식스 입니다. 오늘은 메모리 분석 2번째 시간이네요. 모두 화이팅 하세요. RAM 이미지에서 프로세스 목록 추출하기 volatility pslist -f RAM.dd 실행파일이 RAM에서 실행될 때의 메모리 오프셋 뿐만 아니라 PID(Process ID), PPID(Parent Process ID)를 알 수 있으며, 로컬 컴퓨터에서 해당 프로세스가 시작되었던 시간도 확인 가능합니다. 다만, PPID를 갖고 있지 않은 것도 있을 수 있습니다. 그 이유는 부모 프로세스가 이 프로세스를 생겨나게 했다 하더라도, 그 이후에 종료되어 프로세스 목록에 레코드가 없을 수도 있기 때문입니다. volatility pstree -f RAM.dd pslist 명령어를 실행하는 결과와 동일한 결과값을 ..
