forensic/Memory (3) 썸네일형 리스트형 메모리 분석 - volatility3 hashdump 플러그인 사용법 Writer : KUSTIOS : Win10Volatility3을 사용해 이것저것 만져보던 도중, hashdump plugin을 쓸 일이 생겼는데 사용가능한 플러그인 목록에 없어서 찾아보았습니다.구글링을 통해 찾아봤지만 volatility3에서 hashdump 플러그인을 사용한 글을 못찾았고 결국 오류 하나하나 찾아보며 삽질을 좀 했습니다.volatility3-1.0.0\volatility3\framework\plugins\windows\hashdump 경로에 있다는것을 찾았지만 여러 복합적인 이유로 명령어 목록에 뜨지 않았고 직접실행해도 오류가 나 해당 플러그인의 코드를 살짝 수정했습니다.진행 과정은 다음과 같습니다.모듈설치pip install pycryptodomehashdump는 Crpyto(암호화.. 메모리 분석 - Win7 Userassist 분석 Writer : KUSTI 대상 파일 이름 : kusti.vmem Shellbags 플러그인이 아직 추가가 안되었거나 없어진것 같습니다. 이 글에서는 레지스트리 관련 기타 플러그인들을 분석해 보겠습니다. 우선 대상의 정보를 먼저 보도록 하겠습니다. vol.py -f kusti.vmem windows.info win7이라는 정보를 얻었습니다. userassist 값을 보겠습니다. Userassist의 값을 보기에 앞서 Hive의 용어부터 간단하게 집고 넘어가겠습니다. 레지스트리 Hive란 루트키 아래 서브키로부터 그 아래 모든 서브키를 포함하는 트리구조를 레지스트리 하이브라 합니다. Hive File은 Registry의 정보를 갖고 있으며 Disk에 존재하지 않고 Memory에 존재 합니다. vol.py .. 메모리 분석 - Volatility3 Window Typora에 정리하며 공부한것을 긁어온것 + 추가본 들여쓰기 번호, 그림위치 조정에 약간 문제가 있을수도 있습니다. volatility3으로 윈도우 10환경에서 분석을 진행하였고 ubuntu 18에서 volatiliy2를 실행하였습니다. 분석한 이미지파일은 windows7 입니다. volatility2를 알고 있다는 가정하에 작성하여 플러그인에 대한 설명은 거의 없습니다. volatility2와 명령어 형식만 바뀐것이나 malfind와 같은 특정 조건이 필요한 것들은 사진이 없습니다. Volatility3 공부 Writer : KUSTI OS : Windows python2의 수명이 끝나감에 따라 2021년 2월 python3을 이용한 volatility3이 업데이트 되었다. volatility3은 윈.. 이전 1 다음
