kpcrscan
이는 Finding Object Roots in Vista 에 묘사된 것처럼 자체참조 멤버들을 체크함으로써 잠재적 KPCR 구조들을 스캔하기 위하여 사용되는 명령어이다.
IDT 와 GDT 주소, current,idle, 그리고 다음 쓰레드들, CPU 숫자, 벤더&속도, 그리고 CR3 값들을 포함하는 각각의 프로세서에 대한 자세한 세부 정보들에 대해 알아보기 위해 사용한다. 또한 이명령어를 사용하기 위해 profile이란 명령어를 사용해야하는데. profile 은 imageinfo명령어를 이용하여 알수있다.
pslist
이 명령어는 시스템의 프로세스들을 보여준다. PsActiveProcessHead 를 가리키는 이중연결리스트를 지나가며 오프셋, 프로세스 이름, 프로세스 ID, 부모 프로세스 ID, 쓰레드의 수, 핸들의 수, 프로세스 시작 시간과 종료 시간을 보여 준다
이 명령어 또한 profile 명령어가 들어가야 한다.(이명령어는 끊어진 프로세스를 보여주지 않는다) => psscan
이러한 정보를 tree형태로 보기 위해서 있는 명령어는 pstree이다.
프로세스가아닌 dll을 알아보기 위해 사용하는 명령어는 dlllist이다.
말그대로 이다.
dlldump라는 명령어가 있다.
이는 말그대로 dll파일을 덤프하는 명령어이다.
이 명령어로 아래의 일을 수행할수 있다.
모든 프로세스로부터 모든 DLL 을 덤프 뜬다.
특정 프로세스로부터 모든 DLL 을 덤프 뜬다.(--pid=PID 사용)
숨겨지거나 연결이 끊어진 프로세스로부터 모든 DLL 을 덤프 뜬다.(--offset=OFFSET 사용)
프로세스 메모리의 아무위치로부터 PE 를 덤프 뜬다.(--base=BASEADDR 사용) 이 옵션은 숨겨진 DLL 들을 추출하는데 유용하다.
대소문자구분(--ignore-case 사용)과 정규표현식(--regex=REGEX 사용)에 맞는 하나 또는 그 이상의 DLL 들을 덤프뜬다.
특정 출력 디렉토리를 설정하려면, --dump-dir=DIR 또는 -d DIR 을 사용한다
DLL 목록에 존재하지 않는 PE 파일을 덤프 뜨기 위해 프로세스 메모리의 PE 의 base 주소를 특정합니다.
$ python vol.py --profile=Win7SP0x86 -f win7.dmp dlldump --pid=492 -D out --base=0x00680000
또한 EPROCESS 오프셋을 특정지으므로해서 숨겨진 프로세스에서 원하는 DLL 을 찾을수도 있다.
$ python vol.py --profile=Win7SP0x86 -f win7.dmp dlldump -o 0x3e3f64e8 -D out --base=0x00680000
[참조] [보안프로젝트]Volatility_Command 2.1
'For3nsic > The Art of Memory Forensic' 카테고리의 다른 글
메모리 포렌식에서 volatility 를 사용하면서 ... :) (0) | 2017.01.10 |
---|---|
volatility 사용법 3 (0) | 2015.11.19 |
Volatility 사용법 (0) | 2015.11.18 |
Memory Forensic Volatility 설치 + 실행 (0) | 2015.11.18 |
메모리 분석 전 알아야 할 사항들 (0) | 2015.11.14 |
댓글0