메모리 포렌식에서 volatility 를 사용하면서 ... :)

메모리 포렌식에 빠져서 요즘 공부하다가 volatility를 사용하는 도중 의문이 들었다.

의문이라기 보단 잘 보지 않아 생긴 문제이지만 ...

먼저 imageinfo 를 하여 메모리덤프의 프로파일을 확인 할수있다...

여기서 의문이 들었는데 ........

두둥 !!!

BoB.vmem 파일의 프로파일은 windows XPSP2x86과 XPSP3x86 2개가 나온다... 

물론 아는 사람도 있다. 어떻게 서비스팩을 찾아내는지... 눈이있다면 안다... 난 눈이없었다.

그래서 명령어를 통해서 알아 봤다.

어떻게?

 dlllist | grep xpsp2  <- 이런식으로 ...

이러한 식으로 ... 

그럼 xpsp3를 하게되면 ?

없다 그래서 아... 서비스팩 2구나 라고 생각했는데...

 이뤈 C뿌랄

이렇게 나와있다...

또르르.... 눈좀 챙겨야겠다.....끄읏!!