[SKS! 연합스터디] 3주차. volatility 플러그인

· volatility

• 메모리 포렌식에 사용하는 메모리 분석 도구
• 파이썬에서 구동되는 오픈소스 형식의 프레임워크라고 한다.

vol.py -f [이미지 경로] [플러그인]
vol.py -f [이미지 경로] --profile=[운영체제] [플러그인]

• 여기서 -f 은 파일 선택 옵션이다.

 

· volatility 플러그인

• --info : 플러그인 정보 확인 가능

vol.py --info

 

• imageinfo : 메모리 덤프 파일의 프로파일 정보를 출력 / 운영체제 정보, 커널 정보 등을 확인 가능

vol.py -f window7.vmem imageinfo

 

• kdbgscan : 커널 디버거 데이터 블록의 특징을 찾고 분석

 

• timeliner : 시간 정보가 있는 윈도우 아티팩트 출력

 

• pstree : 프로세스 트리 출력

vol.py -f Windows7.vmem --profile=WinSP1X64 pstree

 

• pslist : 작동 중인 모든 프로세스 출력

 

• psscan : 풀 스캐너를 통해 프로세스 출력

 

• psxview : 다양한 프로세스 리스트 출력
  • pslist=True/False : 숨겨진 프로세스
• memdump : 프로세스의 메모리 덤프 / 윈도우 가상 메모리를 파일로 추출

 

• netscan : 덤프 당시 네트워크 상태

 

• dlllist : 특정 프로세스가 사용하는 dll 리스트 / 악성코드 분석할 때 유용
  • - p : PID 지정 옵션

vol.py -f Windows7.vmem --profile=Win7SP1x64 dlllist -p [PID번호]

 

 

• dlldump : 프로세스가 사용한 dll 덤프
  • --base : 특정 dll 추출
  • - D : 파일 추출 경로 지정

 

• getsids : 시스템 상 사용자의 SID, 응용 프로그램 별 권한 확인 / 권한이 높은 악성코드 분석 시 유용

 

• malfind : 악성코드를 시그니처 기반으로 검색 / 정상 프로세스에 삽입된 악성코드 찾을 때 유용
  • --dump-dir : 원하는 경로에 저장 가능한 옵션

 

• hivelist : 레지스트리 하이브의 물리 주소, 가상 주소, 경로 포함 이름 출력
  • 가상 주소는 특정 레지스트리 플러그인 실행할 때 사용 된다. 

 

• printkey : 레지스트리의 key 서브키, 값을 출력
  • -o : 가상 주소 지정 옵션

 

• hashdump : 레지스트리 하이브에 있는 해시 추출, 역해시 시도 / 윈도우 계정 해시 추출, 레인보우 공격 시도 시 많이 사용됨

 

• userassist : 레지스트리 키 대상으로 분석한 결과 출력 / 최근 실행 프로그램 목록, 마지막 실행 날짜, 실행 횟수 

 

• shellbags : shellbags 레지스트리 분석 / 폴더에 대한 접근 기록, 폴더 생성, 수정, 삭제를 분석할 때 유용

 

• shimcache : shim 인프라가 사용하는 캐시를 분석 / 실행 흔적을 찾을 수 있음

 

• getservicesids : 윈도우 각 사용자의 설치된 서비스 목록 / 서비스 이름과 sid 출력

 

• dumpregistry : 모든 레지스트리 하이브를 파일로 추출

 

• mftparser : ntfs 파티션의 mft 엔트리 분석 / 파일, 폴더에 대한 생성, 삭제, 수정 시간을 분석할 때 유용

 

• consoles : conhost.exe 분석
  • cmd.exe 에서 입력한 명령어와 실행결과
  • cmd.exe 를 사용하는 프로세스 이름

 

• connections : 현재 실행 중인 TCP 세션 출력
• connscan : 종료되었거나 현재 실행 중인 TCP 세션 출력
• sockets : listening 상태인 TCP, UDP, RAW 소켓 출력
  • 이 세 개는 윈도우 xp, 윈도우 2003만 사용 가능 

 

• netscan : TCP, UDP, RAW 소켓 출력

 

• filescan : 추출할 수 있는 파일 찾기
  • offset 필드 값을 사용해서 dumpfiles 플러그인으로 해당 파일 추출 가능

 

• dumpfiles : 메모리에서 추출할 수 있는 파일 추출 수행
  • 프로세스가 접근, 수정, 생성, 삭제한 파일 등
  • -Q : offset 값 입력 옵션

 

• apihooks : 후킹 된 API 함수 찾기
  • 모든 프로세스 대상으로 후킹 분석
  • malfind 플러그인과 같이 사용 시 효과 ↑

 

• driverscan : 드라이브 목록 출력
  • 악성코드로 설치된 드라이버 찾을 때 유용

 

• mutantscan : kmutant 객체 목록 출력

 

• thrdscan : 프로세스가 사용한 쓰레드 목록 출력
  • 은닉 프로세스 찾을 때 유용

 

• memmap : 프로세스가 사용한 물리 메모리와 가상 메모리 출력

 

• procdumpy : 프로세스를 파일로 추출
  • 추출할 대상이 프로세스, 모두 PE 헤더를 가지고, 실행 가능해야만 사용 가능

 

• yarascan : yara 이용
  • 사용자 및 커널 모드 메모리 영역에 포함된 바이트 순서
  • ansi 및 유니코드 문자열

 

여기서 모르는 용어들은 따로 정리해서 새로운 글로 올려보려 한다!