728x90
반응형
메모리 포렌식에 빠져서 요즘 공부하다가 volatility를 사용하는 도중 의문이 들었다.
의문이라기 보단 잘 보지 않아 생긴 문제이지만 ...
먼저 imageinfo 를 하여 메모리덤프의 프로파일을 확인 할수있다...
여기서 의문이 들었는데 ........
두둥 !!!
BoB.vmem 파일의 프로파일은 windows XPSP2x86과 XPSP3x86 2개가 나온다...
물론 아는 사람도 있다. 어떻게 서비스팩을 찾아내는지... 눈이있다면 안다... 난 눈이없었다.
그래서 명령어를 통해서 알아 봤다.
어떻게?
dlllist | grep xpsp2 <- 이런식으로 ...
이러한 식으로 ...
그럼 xpsp3를 하게되면 ?
없다 그래서 아... 서비스팩 2구나 라고 생각했는데...
이뤈 C뿌랄
이렇게 나와있다...
또르르.... 눈좀 챙겨야겠다.....끄읏!!
728x90
반응형
'For3nsic > The Art of Memory Forensic' 카테고리의 다른 글
| volatility 사용법 3 (0) | 2015.11.19 |
|---|---|
| volatility 사용법 2 (0) | 2015.11.19 |
| Volatility 사용법 (0) | 2015.11.18 |
| Memory Forensic Volatility 설치 + 실행 (0) | 2015.11.18 |
| 메모리 분석 전 알아야 할 사항들 (0) | 2015.11.14 |
댓글0