tmxklab

[Volatility] 명령어 히스토리 조사 본문

Security/Volatility

[Volatility] 명령어 히스토리 조사

tmxk4221 2021. 4. 28. 20:41

cmdscan, consoles 플러그인

  • 명령어 히스토리 조사
  • 명령어 히스토리를 조사함으로써 실행된 명령어, 호출한 프로그램, 공격자가 접근한 파일과 폴더와 같은 정보 파악할 수 있음
  • cmdscan 플러그인은 cmd.exe가 실행한 명령을 나열
  • consoles 플러그인은 명령이 성공했는지 안했는지 알 수 있다.
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> cmdscan
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> consoles

 

공격자는 시스템에 침투한 후 다양한 명령어를 실행할 수 있다. 예를 들면 미미카츠와 같은 도구를 사용하여 윈도우 계정정보를 얻어올 수 있다. 

 

미미카츠 관련자료)

 

 

[Tool] mimikatz를 이용하여 윈도우 계정 정보 알아내기

일반적으로 윈도우 해킹 시 계정정보를 알아오기 위해 많이 사용하는 mimikatz 툴은 원래 윈도우10에서 실행이 불가했지만 2018년 2월에 업데이트되어 이용이 가능하다! 기존의 mimikatz를 윈도우10에

securitynote.tistory.com

 

 

gentilkiwi/mimikatz

A little tool to play with Windows security. Contribute to gentilkiwi/mimikatz development by creating an account on GitHub.

github.com

 

파워쉘 관련자료)

 

PowerShellMafia/PowerSploit

PowerSploit - A PowerShell Post-Exploitation Framework - PowerShellMafia/PowerSploit

github.com

 

 

EmpireProject/Empire

Empire is a PowerShell and Python post-exploitation agent. - EmpireProject/Empire

github.com

 

저작자표시

'Security > Volatility' 카테고리의 다른 글

[Volatility] Process Hollowing 탐지  (0) 2021.04.28
[Volatility] Code Injection 탐지  (0) 2021.04.28
[Volatility] 서비스 조사  (0) 2021.04.28
[Volatility] 레지스트리 조사  (0) 2021.04.28
[Volatility] 네트워크 및 소켓 조사  (0) 2021.04.28
'Security/Volatility' Related Articles more
Comments