명령어 / 플러그인
volatility -f {image_path} imageinfo
- memory image info(OS, Date 등등) 출력
volatility -f {image_path} --profile={OS} pslist, psscan, pstree, psxview
- memory의 process list 출력
- pslist : 시간 순 출력
- psscan : offset 순 출력
- pstree : pid, ppid 순으로 출력
- psxview : pslist, psscan을 한눈에 확인 가능하게 출력
volatility -f {image_path} --profile={OS} cmdline, cmdscan, consoles, filescan
- memory의 process 정보 출력
- cmdline : 프로세스가 실행될 때 인자 값 출력
- cmdscan : 콘솔에 입력한 값 출력
- consoles : 콘솔에 입력한 값 출력
- filescan : 메모리 내에 존재하는 모든 파일 리스트 출
volatility -f {image_path} --profile={OS} sockets
- 연결을 기다리는 통신(TCP/UDP 정보) 출력(Windows xp)
volatility -f {image_path} --profile={OS} connections
- 연결된 통신(TCP/UDP 정보) 출력(Windows xp)
volatility -f {image_path} --profile={OS} netscan
- 연결된 통신(TCP/UDP 정보) 출력(Windows 7 이상)
volatility -f {image_path} --profile={OS} dumpfiles -Q {offset} -D {path} -n
- file의 offset을 지정하여 dump
- -Q : offset 지정
- -D : 파일 저장 path 지정
volatility -f {image_path} --profile={OS} memdump -p {pid} -D {path}
- 메모리 상의 올라와 있는 프로세스의 메모리 영역을 덤프
volatility -f {image_path} --profile={OS} procdump -p {pid} -D {path}
- 메모리 상의 실제 올라가 있는 프로세스 실행 파일 덤프
strings {file} > {file_name}
- windows에서 동작하는 실행 파일 또는 라이브러에서 문자열 추출
volatility -f {image_path} --profile={OS} printkey -K {RegistryKey값}
- 하이브 파일 내부에 존재하는 서브 키 검색
- 레지스트리 키, 하위 키, 값을 출력하려면 -K 옵션 사용
volatility -f {image_path} --profile={OS} hivelist
- 메모리에 존재하는 하이브 파일 목록 출력(가상+물리주소)
volatility -f {image_path} --profile={OS} hivedump -o {가상주소}
- 메모리에 존재하는 하이브 파일 덤프
volatility -f {image_path} --profile={OS} envars
- 메모리에 저장되어있는 환경변수 값 출력
volatility -f {image_path} --profile={OS} chromehistory
- 크롬 브라우저의 history를 출력 (커스텀 플러그인 다운로드 필요)
- GitHub - superponible/volatility-plugins: Plugins I've written for Volatility
volatility -f {image_path} --profile={OS} mftparser
- 메모리 덤프 당시의 mtf 파일 추출
- MFT는 NTFS 파일 시스템에서 파일의 메타데이터를 저장하는 파일
- 파일 데이터가 많기 때문에 리다이렉션 하여 저장
