포렌식으로 분류되어 있는 문제. 메모리 덤프 파일을 분석하기 위해 volatility라는 툴을 사용했다. volatility 폴더에서 cmd 창을 열고, 아래와 같은 명령어를 입력한다. 메모리 덤프 파일은 volatility 폴더 내에 있어야 한다. volatility_2.6_win64_standalone -f "MemoryDump(SuNiNaTaS 30)" imageinfo * volatility에서 imageinfo 명령어는 덤프 파일에 대한 정보를 출력할 때 사용한다. 해당 메모리 덤프 파일은 32bits Windows 7 운영체제의 메모리 덤프 파일이다. suggested profiles에서 사용할 프로필을 선택하면 된다. 1. 김장군 pc의 ip 주소 네트워크 상태를 출력하는 netscan 명령을 사용한다. volatility_2.6_win64_sta..........
원문링크 : 써니나타스(Suninatas) 30번
네이버 블로그
티스토리
커뮤니티