SuNiNaTaS - Forensics 30번 문제 풀이

메모리 덤프 파일을 다운 받는다. 다운받은 파일을 volatility 폴더로 이동시키고, 파일명을 “memory”로 변경했다. # Volatility 명령어 형식 - vol.py -f [이미지 경로] [플러그인] - vol.py -f [이미지 경로] --profile=[운영체제] [플러그인] imageinfo 플러그인으로 운영체제 정보를 확인할 수 있다. # vol.py -f memory imageinfo - 운영체제 정보 확인 profile에는 그림3에서 획득한 운영체제 정보를 입력하고 netscan 플러그인을 사용하면 김장군 PC의 IP주소를 알 수 있다. IP주소 – 192.168.197.138 # vol.py -f memory –profile=Win7SP1x86_23418 netscan - 네트워..

2020.10.02