volatility 사용법 2

kpcrscan

이는 Finding Object Roots in Vista 에 묘사된 것처럼 자체참조 멤버들을 체크함으로써 잠재적 KPCR 구조들을 스캔하기 위하여 사용되는 명령어이다.

IDT 와 GDT 주소, current,idle, 그리고 다음 쓰레드들, CPU 숫자, 벤더&속도, 그리고 CR3 값들을 포함하는 각각의 프로세서에 대한 자세한 세부 정보들에 대해 알아보기 위해 사용한다. 또한 이명령어를 사용하기 위해 profile이란 명령어를 사용해야하는데. profile 은 imageinfo명령어를 이용하여 알수있다.

pslist

이 명령어는 시스템의 프로세스들을 보여준다.  PsActiveProcessHead 를 가리키는 이중연결리스트를 지나가며 오프셋, 프로세스 이름, 프로세스 ID, 부모 프로세스 ID, 쓰레드의 수, 핸들의 수, 프로세스 시작 시간과 종료 시간을 보여 준다 

이 명령어 또한 profile 명령어가 들어가야 한다.(이명령어는 끊어진 프로세스를 보여주지 않는다) => psscan

이러한 정보를 tree형태로 보기 위해서 있는 명령어는 pstree이다.

프로세스가아닌 dll을 알아보기 위해 사용하는 명령어는 dlllist이다.

말그대로 이다. 

dlldump라는 명령어가 있다.

이는 말그대로 dll파일을 덤프하는 명령어이다.

이 명령어로 아래의 일을 수행할수 있다.

모든 프로세스로부터 모든 DLL 을 덤프 뜬다.

특정 프로세스로부터 모든 DLL 을 덤프 뜬다.(--pid=PID 사용)

숨겨지거나 연결이 끊어진 프로세스로부터 모든 DLL 을 덤프 뜬다.(--offset=OFFSET 사용)

프로세스 메모리의 아무위치로부터 PE 를 덤프 뜬다.(--base=BASEADDR 사용) 이 옵션은 숨겨진 DLL 들을 추출하는데 유용하다.

대소문자구분(--ignore-case 사용)과 정규표현식(--regex=REGEX 사용)에 맞는 하나 또는 그 이상의 DLL 들을 덤프뜬다.

특정 출력 디렉토리를 설정하려면, --dump-dir=DIR 또는 -d DIR 을 사용한다 

DLL 목록에 존재하지 않는 PE 파일을 덤프 뜨기 위해 프로세스 메모리의 PE 의 base 주소를 특정합니다.

$ python vol.py --profile=Win7SP0x86 -f win7.dmp dlldump --pid=492 -D out --base=0x00680000

 

또한 EPROCESS 오프셋을 특정지으므로해서 숨겨진 프로세스에서 원하는 DLL 을 찾을수도 있다. 

$ python vol.py --profile=Win7SP0x86 -f win7.dmp dlldump -o 0x3e3f64e8 -D out --base=0x00680000 

[참조] [보안프로젝트]Volatility_Command 2.1