/* 프로그램 실행 환경 : 윈도우 10 */
볼라틸리티 설치법은 꽤 많이 있다. 운영체제에 따라 다르고, 또 exe파일로 설치할 것인지, 직접 python의 설치 경로에 파일을 넣어주면서 설치할 것인지에 따라 다르다.
나는 처음에는 yara, pycrypto, Distorm3 등을 설치하면서 복잡하게 했는데 윈도우를 새로 깔면서 이번에는 standalone으로 이용했다.
또한 볼라틸리티는 파이썬을 기반으로 하기 때문에 파이썬을 설치해줘야 한다. 2.x버전만 가능하기 때문에 잘 알아보고 설치하자. 나는 파이썬 2.7을 설치했다.
The Volatility Foundation - Open Source Memory Forensics
The Volatility Foundation is an independent 501(c) (3) non-profit organization that maintains and promotes The Volatility memory forensics framework.
www.volatilityfoundation.org
위의 링크로 들어가서, 볼라틸리티를 다운받자.
홈페이지로 들어가서, Releases 탭의 2.6버전을 클릭한다.
윈도우용 Standalone Executable x64를 다운받자.
다운받은 압축파일을 풀어주자.
나중에 프로그램을 실행할 때, 분석한 파일을 해당 경로에 넣어줘야 하므로 기억해두자.
나는 그냥 편하게 바탕화면에다가 풀어줬다.
압축파일을 풀어준 폴더에, 분석해야 하는 파일을 넣어줘야한다.
// cd [volatility exe파일과 분석 파일이 함께 있는 폴더 경로]
cd C:\Users\Seongeun\Desktop\volatility_2.6_win64_standalone
cd를 입력해서 해당 폴더로 진입해주자.
참고로 볼라틸리티 폴더에서 저 부분을 클릭하면 경로가 뜬다.
블럭된 부분을 복사 후, cmd 창에서는 마우스 우클릭을 누르면 붙여넣기가 된다.
// 해당 폴더로 진입 후
volatility_2.6_win64_standalone.exe -f MemoryDump(SuNiNaTaS) imageinfo예시로 imageinfo를 시작하는 명령어이다.
imageinfo를 입력하면, 이미지 프로파일을 확인할 수 있다.
볼라틸리티를 이용해서 메모리 덤프를 분석할 수 있는데,
SuNiNaTaS는 내가 분석하기 위해 넣어준 파일 이름이다.
같은 경로에 있어야 (내가 진입한 경로) 분석을 할 수 있다.
명령어를 입력하면 이런식으로 분석이 가능하다.
다양한 명령어 사용은 아래 블로그 링크를 참고하자.
Volatility를 이용한 메모리 포렌식
* 해당 포스팅은 플레인비트의 이준형 강사님의 강의를 듣고 작성한 스터디용 포스팅입니다. < 메모리 덤프 파일 분석하기 > * 분석도구 - Volatility * 분석 전 준비 사항 1. Volatility Tool 설치 1) pytho
kkamagistory.tistory.com
'Security > Wargame' 카테고리의 다른 글
| [디지털 포렌식] SuNiNaTaS 30번 풀이 | Volatility 사용 (0) | 2021.02.17 |
|---|---|
| [디지털 포렌식] one_data_one_zip 풀이 | 네트워크 포렌식, Wireshark, Advanced Archive Password Recovery 사용 (5) | 2021.02.11 |
| [디지털 포렌식] board 풀이 | 네트워크 포렌식, Wireshark 도구 사용 (0) | 2021.02.10 |
| [디지털 포렌식] N0Named wargame Left Side B | HxD 도구 사용 (2) | 2021.02.04 |
| [디지털 포렌식] N0Named wargame 길에서 주어온 만두 | HxD, OpenStego 도구 사용 (0) | 2021.02.04 |