포렌식 Volatility Cridex 문제풀이 우선 활성화된 TCP 연결을 찾아주는 두 플러그인, connections와 connscan을 보면, 아래와 같이 의심스러운 IP 2개를 얻을 수 있다. 다음 소켓에 대한 정보를 찾아주는 두 플러그인, sockets와 sockscan을 이용한 결과를 보면, 위에서 의심스럽다고 체크해두었던 explorer.exe(1484)가 ANY(0.0.0.0)을 향해 소켓을 열고 있는(혹은 열었거나) 흔적을... 포렌식포렌식 Volatility plugin 세부 내용 비교(pslist, psscan, pstree, psxview) (cmdscan, consoles, cmdline) (netscan, socket, connections) Volatility의 플러그인, 다양한 기능이 있는데 그 기능에 대해 세부 내용까지 자세히 설명한 곳이 많지는 않다. pslist, psscan, pstree, psxview pslist pslist는 "시간 순"으로 나열한다. 따라서 악성 프로세스의 선후 관계를 파악하는 데에 유용하다. 예를 들어 아래와 같은 경우에 TeamViewer.exe 가 먼저 실행되고, mstsc.exe가 실행된 ... 포렌식포렌식
Volatility Cridex 문제풀이 우선 활성화된 TCP 연결을 찾아주는 두 플러그인, connections와 connscan을 보면, 아래와 같이 의심스러운 IP 2개를 얻을 수 있다. 다음 소켓에 대한 정보를 찾아주는 두 플러그인, sockets와 sockscan을 이용한 결과를 보면, 위에서 의심스럽다고 체크해두었던 explorer.exe(1484)가 ANY(0.0.0.0)을 향해 소켓을 열고 있는(혹은 열었거나) 흔적을... 포렌식포렌식 Volatility plugin 세부 내용 비교(pslist, psscan, pstree, psxview) (cmdscan, consoles, cmdline) (netscan, socket, connections) Volatility의 플러그인, 다양한 기능이 있는데 그 기능에 대해 세부 내용까지 자세히 설명한 곳이 많지는 않다. pslist, psscan, pstree, psxview pslist pslist는 "시간 순"으로 나열한다. 따라서 악성 프로세스의 선후 관계를 파악하는 데에 유용하다. 예를 들어 아래와 같은 경우에 TeamViewer.exe 가 먼저 실행되고, mstsc.exe가 실행된 ... 포렌식포렌식