volatility 플러그인 정리

https://schmidtiana95.tistory.com/entry/Volatility

Volatility 플러그인

 

워게임 풀면서 직접 써본 것

imageinfo

메모리 덤프 파일의 프로파일 정보 출력

프로파일은 운영체제와 하드웨어 아키텍처 식별 정보

vol.py -f <.vmem> imageinfo

 

pslist

프로세스 리스트 보여준다. 

은닉 프로세스 탐지 불가 -> psscan, pstree가 찾아준다. 

vol.py -f <.vmem> --profile=[운영체제] pslist

 

filescan

추출할 수 있는 파일을 찾고, offset 필드값을 이용해 dumpfiles 플러그인으로 해당 파일을 추출할 수 있다. 

vol.py -f <.vmem> --profile=[운영체제] filescan

 

dumpfiles

프로세스가 접근/수정/생성/삭제한 파일 등 메모리에서 추출할 수 있는 파일 추출을 실행한다. 

특정 파일 추출하기 (-Q [원하는 파일 offset])

vol.py -f <.vmem> --profile=[운영체제] dumpfiles -Q [offset값] -D ./

 

memdump

윈도우 가상 메모리를 파일로 추출

디폴트로 모든 프로세스의 가상 메모리 추출

특정 프로세스만 대상으로 가상 메모리 추출(-p)

vol.py -f <.vmem> --profile=[운영체제] memdump -p [프로세스 번호] -D ./

 

printkey

레지스트리의 서브키, 값을 출력한다.

-K 옵션을 사용해 hivelist를 사용해 알아낸 경로를 입력하면 해당 레지스트리에 대해서만 정보를 가져온다. 

vol.py -f <.vmem> --profile=[운영체제] printkey -o [가상주소] -K [hivelist를 사용해 알아낸 경로]

 

handles 플러그인

프로세스에 의해 열린 핸들의 목록을 나타낸다. 

프로세스는 CreateFile 같은 함수를 사용해 핸들을 획득한다. 

그런 핸들은 CloseHandle 함수가 호출되기 전까지 유효하게 사용한다.