Volatility를 이용한 Memory 분석방법론
1) 운영체제정보
어떠한 운영체제에서 생성한 Memory Dump인지 분석
imageinfo – 생성한 Memory Dump의 운영체제, Service Pack과 Hardware 정보들을 나열
2) Process 분석
생성한 Memory Dump에서 실행중이거나 은폐된 Process 및 그와 관련된 정보들을 분석
pslist – 실행중인 Process 정보들을 나열
psscan – 실행중인 Process 정보들과 함께 이미 종료된 Process 정보도 나열
psxview – pslist와 psscan에서 확인한 Process 정보들을 비교하여 나열함으로, 은폐되어있는 Process 정보획득
pstree – pslist와 유사한 정보를 보여주나 Parent와 Child Process 간의 상관관계를 나열
procexedump – Process의 Memory 영역에서 Slack space를 포함하지 않고 Binary 형태로 추출
3) Network 정보
생성한 Memory Dump에서 활성화되거나 은폐된 Network 및 그와 관련된 정보들을 분석
connections – 활성화 상태의 Network 연결정보 나열, Windows XP, Windows 2003 Server만 사용가능
connscan – 활성화 상태의 Network 연결정보와 함께 이미 종료된 연결정보도 나열 Windows XP,Windows 2003 Server만 사용가능
netscan – 활성화 상태의 Network 연결정보를 보여주나, Windows Vista와 7 그리고 Windows 2008 Server에서만 사용가능
sockets – 활성화 상태의 Network(TCP, UDP, RAW 등) 연결정보 나열, Windows XP, Windows 2003 Server만 사용가능
sockscan – 활성화 상태의 Network(TCP, UDP, RAW 등) 연결정보와 함께 이미 종료된 연결정보도 나열, Windows XP, Windows 2003 Server만 사용가능
4) DLL 및Thread 분석
특정 Process에서 load 한 DLL정보나 Thread 정보들을 분석
dlllist – 특정 Process에서 load한 DLL들의 정보를 분석
ldrmodules – 특정 Process나 DLL에 의해 은폐되어진 DLL 정보를 분석
dlldump – 특정 Process에서 load한 DLL을 Binary 형태로 추출
Malfind – User mode 형태로 은폐되어있거나 injection 되어있는 코드 또는 DLL 정보들을 분석
apihooks – User 및 Kernel Mode에서 API Hooking 정보를 분석
thrdscan – EThread 오브젝트를 이용해 부모프로세스를 식별
virushtotal – virushtotal에 조회
5) String 분석
생성한 Memory Dump 전체 또는 Binary 형태로 추출한 Process 및 DLL Memory dump에서 특정 string 분석
yarascan – YARA를 이용하여, User 및 Kernel Modememory에 포함된 Byte 순서, ANSI 및 Unicode 문자 검색
cmdscan – 콘솔(cmd.exe)를 통해 입력한 명령어를 찾음 (COMMAND_HISTORY)
consoles – 콘솔(cmd.exe)를 통해 입력한 명령어를 찾음 (CONSOLE_INFOMATION)
envars – 프로세스의 환경변수들을 조회
6) Registry 분석
생성한 Memory Dump 전체에서 Windows Registry 관련 정보들을 분석
printkey – 특정 Registry Key에 포함되어 있는 Subkeys, Values와 Data를 검색하여 나열
userassist – Memory Dump에서 UserAssist 관련 Registry Key정보를 추출
7) File System 분석
timeliner – 타임라인분석
shellbags – 레지스트리 분석
mftparser – mft 분석
filescan – file 검색(FILE_OBJECT)
출처 : http://www.slideshare.net/youngjunchang14/memory-forensics-with-volatility