볼리티리티를 이용한 악성코드 분석

1. 볼라티리티 도움말 확인

vol.py --help 
vol.py --help > help.txt

2. 운영체제 이미지 정보 확인

vol.py -f memdump.vmem imageinfo


3. 'SkypeC2AutoUpdate.exe' 프로세스 정보 확인

vol.py -f memdump.vmem --profile=Win7SP1x64 pstree
vol.py -f memdump.vmem --profile=Win7SP1x64 pstree > pstree.txt

vol.py -f memdump.vmem --profile=Win7SP1x64 psscan
vol.py -f memdump.vmem --profile=Win7SP1x64 psscan > psscan.txt

vol.py -f memdump.vmem --profile=Win7SP1x64 pslist
vol.py -f memdump.vmem --profile=Win7SP1x64 pslist > pslist.txt


4. 'SkypeC2AutoUpdate.exe' 네트워크 정보 확인

vol.py -f memdump.vmem --profile=Win7SP1x64 netscan
vol.py -f memdump.vmem --profile=Win7SP1x64 netscan > netscan.txt


6. 'SkypeC2AutoUpdate.exe' IE 정보 확인

vol.py -f memdump.vmem --profile=Win7SP1x64 iehistory 
vol.py -f memdump.vmem --profile=Win7SP1x64 iehistory > iehistory.txt


7. 'SkypeC2AutoUpdate.exe' 프로세스에 대한 메모리 덤프

 - SkypeC2AutoUpd 프로세스 메모리 덤프 실시

vol.py -f memdump.vmem --profile=Win7SP1x64 memdump -p 1364 -D ./

strings 1364.dmp > 1364.txt


8. 'SkypeC2AutoUpdate.exe' 파일 추출

vol.py -f memdump.vmem --profile=Win7SP1x64 filescan > file.txt

vol.py -f memdump.vmem --profile=Win7SP1x64 filescan | findstr "SkypeC2AutoUpdate.exe"
vol.py -f memdump.vmem --profile=Win7SP1x64 filescan | findstr "SkypeC2AutoUpdate.exe" > sky.txt

vol.py -f memdump.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dbb69b0 -D ./