Volatility

- 메모리 포렌식 도구로서 오픈소스 이다

- CLI(command-line interface)로서 version 3까지 공개되어 있으나, 현재는 ver 2를 많이 사용하는 편이다.

 

* Volatility 명령어 

  - imageinfo: 메모리 덤프의 운영체제 식별

  - pslist: process 시간대 별로 출력

  - psscan: 숨겨진 process 출력

  - pstree: PID, PPID 기준으로 구조화되어 출력

  - psxview: pslist, psscan을 포한함 결과를 한거번에 출력하여 볼 수 있음.

  - netscan(network analytics)

    * windows 7이상

   ** TCP, UDP / IPv4, IPv6

  *** socket information(listening, established, closed) 

  - connections(network analytcs)

    * windows7이하

   ** 현재 연결된 TCP 정보 출력

   - sockets

    * windows7 이하

   ** TCP, UDP를 포함한 모든 프로토콜

 *** 현재 Listening 상태에 있는 소켓 출력

   - cmdscan: 콘솔에 입력한 값들을 출력

   - consoles: 콘솔에 입력한 값과 결과값을 출력

   - cmdline: 프로세스가 실행될 때의 인자값을 확인

   - filescan: 메모리 내에 존재하는 모든 파일 리스트 출력

   - dumpfiles: 파일을 덤프하여 옵션을 추가하여 메모리 주소, 프로세스 등등을 세부적으로 출력

   - memdump: 특정 프로세스의 메모리 영역을 덤프

   - procdump: 프로세스의 실행 파일을 출력