Description
Korean
어느날 나는 커피집에서 노트북을 놓고 잠시 자리를 비웠다.그리고 다시 와서 작업을 하다가 작업프로그램이 갑자기 꺼졌고, 작업파일들이 모두 다 삭제되었다.원인을 찾기위해 나는 서둘러 메모리 덤프를 만들었다.이 메모리 덤프파일을 분석하여 다음 정보를 알아내자.
키 형식 : (Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years)
ex (explorer.exe_1234_7777_Mon-Jan-01-12:00:00-2012)
운영체제 확인
volatility_2.6_win64_standalone.exe -f .\\xczprob2 imageinfo
여러 정보 로그 파일로 저장
volatility_2.6_win64_standalone.exe -f .\\xczprob2 --profile=WinXPSP2x86 pslist > pslist.log
volatility_2.6_win64_standalone.exe -f .\\xczprob2 --profile=WinXPSP2x86 cmdscan > cmdscan.log
volatility_2.6_win64_standalone.exe -f .\\xczprob2 --profile=WinXPSP2x86 filescan > filescan.log
volatility_2.6_win64_standalone.exe -f .\\xczprob2 --profile=WinXPSP2x86 connections > connections.log
volatility_2.6_win64_standalone.exe -f .\\xczprob2 --profile=WinXPSP2x86 netscan > netscan.log
volatility_2.6_win64_standalone.exe -f .\\xczprob2 --profile=WinXPSP2x86 pstree > pstree.log
volatility_2.6_win64_standalone.exe -f .\\xczprob2 --profile=WinXPSP2x86 sockets > sockets.log