기초부터따라하는디지털포렌식2 [SUA][2주차]volatility 명령어 정리 **운영체제 식별 - imageinfo : 메모리덤프의 운영체제 식별 volatility -f __imageinfo__ **프로세스 검색 - pslist : 프로세스 리스트를 시간 순서대로 보여줌 - psscan : 프로세스 구조체 스캔 후 출력, 숨겨진 프로세스 출력 가능 - pstree : pid, ppid 기준으로 구조화하여 보여줌, 최초로 생성되는 프로세스를 제외하고, 모든 프로세스는 부모 프로세스를 복제해 생성되고 계 층관계 트리가 생긴다. 각각의 프로세스는 자식 프로세스와 부모 프로세스에 대한 정보를 가진다. PID(Process ID)는 운영체제에서 프로세스를 구분하기 위해 부여한 번호이다. PPID(Parent Process ID)는 해당 프로세스를 만든 부모 프로세스의 PID를 의미한.. 2022. 5. 5. [SUA][1주차]디스크 덤프, 마운트, 메모리 덤프 실습 *용어정리* - 디스크 이미징 : 디스크를 파일의 형태로 가져오는 것. - 디스크 마운트 : 디스크 이미징된 파일을 내 컴퓨터에 등록시키는 것. - 메모리 덤프 : 실행중인 메모리를 사진찍듯이 가져와 파일로 저장하는 것. *실습과정* =>FTK Imager 설치 후 Create disk image 눌러주었다. 드라이브를 선택하라는 목록이 나오는데, 크기가 15GB인 USB를 선택했다. =>이미지 타입은 E01을 선택했다. E01은 압축된 포맷이다. =>이미지 Destination Folder의 경로를 설정하고, 이미지 파일 이름은 image로 설정하였다. 그리고 이미지 Fragment Size를 0으로 설정하였는데 이는 쪼개서 저장하지 않겠다는 의미이다. 이후 finish 버튼을 눌렀다. =>약 8분정도.. 2022. 5. 3. 이전 1 다음
