반응형 메모리 포렌식1 Volatility를 활용한 메모리 분석/포렌식 이번 포스팅에서는 Volatility를 활용한 메모리 덤프 이미지 분석 및 포렌식 방법에 대해서 다루겠습니다. 자주 사용되는 기본 옵션 사용법들을 나열하였으며, 자세한 사용법은 volatility 공식 메뉴얼을 참고하시기 바랍니다. 1. 메모리 이미지 정보 확인 volatility imageinfo -f [메모리 이미지] 메모리 이미지의 정보를 출력한다. PAE : 물리 주소 확장 여부 (32bit OS에서 64GB의 물리 메모리까지 접근할 수 있도록 한다.) KPCR (Kernel Processor Control Region): IDT,GDT 등의 기본 정보와 HAL 같은 다른 모듈과 공유하는 인터럽트 컨트롤러 상태를 담고 있다. 2. 프로세스 정보 출력 volatility pslist -f [메모리 .. 2024. 3. 15. 이전 1 다음 반응형
