티스토리 뷰
15.10.10일에 있었던, 국방부 주최 Withcon 대회문제를 풀면서 Forensic에 대해 흥미가 많이 생겼다. 메모리 포렌식은 전 부터 중요하다고 느끼기만 하다가, 이번 계기로 한번 공부를 하려고 한다.
volatility Plugin의 기본적인 뼈대
- __init__ : 플러그인 클래스의 초기화 담당하는 함수이고, 해당 함수에는 보통 플러그인의 추가 옵션을 정의.
- help : 플러그인의 옵션을 출력.
- calculate : 플러그인의 기능이 정의되고 수행(필수적으로 사용해야 하는 함수)
- render_text : calculate에서 수행되고 리턴되는 값은 해당 함수로 전달되어 알맞은 포맷으로 출력.
* __init__ 과 calculate와 render_text 가 많이 쓰인다.
아래 python code는 기본적으로 imageFileName과 PID를 받아서 깔끔하게 정리하는 maj3sty님의 volatility plugin 예제이다.
이처럼 분석을 할 때에도 자기의 입맛에 맞게 코드를 구현하며 플러그인을 작성하면 분석의 질을 높일 수 있을 것이라고 생각한다.
출처 : http://maj3sty.tistory.com
'포렌식' 카테고리의 다른 글
| [Memory Forensic] 볼라틸리티를 이용한 메모리 분석 방법론 (0) | 2015.10.22 |
|---|---|
| [FTK Imager] 이미징 방법 (0) | 2015.08.15 |
| Win7 환경에서 논리적 쓰기방지. (0) | 2015.06.29 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- Decoding
- us-cert
- AMSI
- keylogger
- infostealer
- CVE-2018-0798
- 비트코인
- Servey
- Static Analysis Engine
- .wll
- 스피어피싱
- Kimsuky
- cuckoo-sandbox
- vuln
- malware
- CVE-2018-9375
- MS-Office
- 출처 : Do it 안드로이드 프로그래밍
- 멋쟁이사자처럼 4기
- 한글악성코드
- VirusBulletin
- Yara
- idapython
- Cisco Talos
- Flybits
- 위협정보공유
- Bisonal
- koodous
- 해킹메일
- 악성코드
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함