tmxklab
[Volatility] 레지스트리 조사 본문
1. printkey
- 하이브 파일 내부에 존재하는 서브 키 검색
- 레지스트리 키, 하위 키, 값을 출력하려면 -K옵션 사용
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> printkey -K <키 값>
2. hivelist
- 메모리에 존재하는 하이브 파일 목록 출력(가상+물리주소)
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> hivelist
3. userassist, shellbags, shimcache 플러그인
이진 데이터를 포함한 레지스트리 키를 파싱하고 훨씬 더 읽기 쉬운 형식으로 정보 표시
- userassist 플러그인 : userassist 레지스트리 정보 출력, userassist키는 시스템에서 유저가 실행한 적이 있는 프로그램과 프로그램이 실행된 시간에 대한 목록을 포함한다
- shimcache 플러그인 : 시스템에 악성코드가 존재하고 실행된 시간을 증명하는데 유용
- shellbags 플러그인 : 파일, 폴더, 외부 저장 장치, 네트워크 리소스의 접근 정보 제공
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> userassist
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> shimcache
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> shellbags
'Security > Volatility' 카테고리의 다른 글
| [Volatility] 명령어 히스토리 조사 (0) | 2021.04.28 |
|---|---|
| [Volatility] 서비스 조사 (0) | 2021.04.28 |
| [Volatility] 네트워크 및 소켓 조사 (0) | 2021.04.28 |
| [Volatility] DLL 조사 (0) | 2021.04.28 |
| [Volatility] 프로세스 조사 (0) | 2021.04.28 |
'Security/Volatility' Related Articles
more
Comments