tmxklab
[Volatility] 명령어 히스토리 조사 본문
cmdscan, consoles 플러그인
- 명령어 히스토리 조사
- 명령어 히스토리를 조사함으로써 실행된 명령어, 호출한 프로그램, 공격자가 접근한 파일과 폴더와 같은 정보 파악할 수 있음
- cmdscan 플러그인은 cmd.exe가 실행한 명령을 나열
- consoles 플러그인은 명령이 성공했는지 안했는지 알 수 있다.
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> cmdscan
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> consoles
공격자는 시스템에 침투한 후 다양한 명령어를 실행할 수 있다. 예를 들면 미미카츠와 같은 도구를 사용하여 윈도우 계정정보를 얻어올 수 있다.
미미카츠 관련자료)
[Tool] mimikatz를 이용하여 윈도우 계정 정보 알아내기
일반적으로 윈도우 해킹 시 계정정보를 알아오기 위해 많이 사용하는 mimikatz 툴은 원래 윈도우10에서 실행이 불가했지만 2018년 2월에 업데이트되어 이용이 가능하다! 기존의 mimikatz를 윈도우10에
securitynote.tistory.com
gentilkiwi/mimikatz
A little tool to play with Windows security. Contribute to gentilkiwi/mimikatz development by creating an account on GitHub.
github.com
파워쉘 관련자료)
PowerShellMafia/PowerSploit
PowerSploit - A PowerShell Post-Exploitation Framework - PowerShellMafia/PowerSploit
github.com
EmpireProject/Empire
Empire is a PowerShell and Python post-exploitation agent. - EmpireProject/Empire
github.com
'Security > Volatility' 카테고리의 다른 글
[Volatility] Process Hollowing 탐지 (0) | 2021.04.28 |
---|---|
[Volatility] Code Injection 탐지 (0) | 2021.04.28 |
[Volatility] 서비스 조사 (0) | 2021.04.28 |
[Volatility] 레지스트리 조사 (0) | 2021.04.28 |
[Volatility] 네트워크 및 소켓 조사 (0) | 2021.04.28 |
Comments