tmxklab
[Volatility] 디바이스 및 드라이버 조사 본문
참고)
I/O 관련 작업(Device Driver, I/O Manager)
여기서 다루는 내용은 Device Driver와 I/O Manager에 중점을 둔다. 다음 그림은 유저단에서 WriteFile() API 함수를 호출했을 때 I/O Manager와 Device Drvier가 처리하는 과정이다. syscall(x64) 또는 sysenter..
rninche01.tistory.com
1) devocetree 플러그인
- Device Tree정보를 확인
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> devicetree
2) driverirp 플러그인
- 특정 드라이버 또는 모든 드라이버와 관련된 주요 IRP 함수를 표시
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> driverirp -r <driver name>-r옵션을 지정하지 않고 실행하면 모든 드라이버와 관련된 주요 IRP를 확인
'Security > Volatility' 카테고리의 다른 글
| [Volatility] 커널 공간 후킹 탐지 (0) | 2021.05.07 |
|---|---|
| [Volatility] 커널 모드 루트킷 탐지 (0) | 2021.04.28 |
| [Volatility] API 후킹 탐지 (0) | 2021.04.28 |
| [Volatility] Process Hollowing 탐지 (0) | 2021.04.28 |
| [Volatility] Code Injection 탐지 (0) | 2021.04.28 |
'Security/Volatility' Related Articles
more
Comments