2020. 1. 28. 21:40ㆍ정보보안
1. 볼라티리티 도움말 확인
vol.py --help
vol.py --help > help.txt
2. 운영체제 이미지 정보 확인
vol.py -f memdump.vmem imageinfo
3. 'SkypeC2AutoUpdate.exe' 프로세스 정보 확인
vol.py -f memdump.vmem --profile=Win7SP1x64 pstree
vol.py -f memdump.vmem --profile=Win7SP1x64 pstree > pstree.txt
vol.py -f memdump.vmem --profile=Win7SP1x64 psscan
vol.py -f memdump.vmem --profile=Win7SP1x64 psscan > psscan.txt
vol.py -f memdump.vmem --profile=Win7SP1x64 pslist
vol.py -f memdump.vmem --profile=Win7SP1x64 pslist > pslist.txt
4. 'SkypeC2AutoUpdate.exe' 네트워크 정보 확인
vol.py -f memdump.vmem --profile=Win7SP1x64 netscan
vol.py -f memdump.vmem --profile=Win7SP1x64 netscan > netscan.txt
6. 'SkypeC2AutoUpdate.exe' IE 정보 확인
vol.py -f memdump.vmem --profile=Win7SP1x64 iehistory
vol.py -f memdump.vmem --profile=Win7SP1x64 iehistory > iehistory.txt
7. 'SkypeC2AutoUpdate.exe' 프로세스에 대한 메모리 덤프
- SkypeC2AutoUpd 프로세스 메모리 덤프 실시
vol.py -f memdump.vmem --profile=Win7SP1x64 memdump -p 1364 -D ./
strings 1364.dmp > 1364.txt
8. 'SkypeC2AutoUpdate.exe' 파일 추출
vol.py -f memdump.vmem --profile=Win7SP1x64 filescan > file.txt
vol.py -f memdump.vmem --profile=Win7SP1x64 filescan | findstr "SkypeC2AutoUpdate.exe"
vol.py -f memdump.vmem --profile=Win7SP1x64 filescan | findstr "SkypeC2AutoUpdate.exe" > sky.txt
vol.py -f memdump.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dbb69b0 -D ./
'정보보안' 카테고리의 다른 글
| @GPT (0) | 2020.01.30 |
|---|---|
| 하드디스크 구조 및 MBR (0) | 2020.01.29 |
| 볼리티리티를 이용한 메모리 분석 (0) | 2020.01.28 |
| 윈도우 포렌식 & FAT32 파일 시스템 구조 (0) | 2020.01.28 |
| 프로파일 및 파일 다운로드 분석 실습 (0) | 2020.01.28 |