2 분 소요

Where to use?

Volatility는 휘발성 메모리 샘플에서 디지털 아티팩트를 추출하는 프레임워크이다. 또한 오픈소스로 깃허브에 공개 되어 있으며 CLI 인터페이스를 제공한다.

Available OS

Linux, Windows, macOS

How to install?

Volatility(볼라틸리티) 설치 방법은 다양하다. 운영체제마다 다르고 직접 python으로 설치 할지 혹은 exe 파일로 설치할지에 따라 다르다. 메모리 포렌식을 위해 이 툴을 처음 접했을때는 Ubuntu 에서 진행을 했는데 생각보다 복잡 했다.

또한 Volatility는 Python 기반으로 진행 하기 때문에 Python을 설치 해야한다. 2.x 버전을 설치 해야하기 때문에 잘 알아보고 진행 해야한다. 하지만 2022년 11월 21일 기준 Volatility 3은 3.6.0 이상을 지원 하면서 파이썬 3로도 가능하다.

How to use?

윈도우에서 사용 방법

Volatility는

우선 다운로드를 진행한다. 리눅스에서 실행하는것보다는 비교적 매우 쉽다.

Volatility는

압축 파일을 풀고 덤프 파일을 폴더 안에 넣어야 한다.

Volatility는

만약 덤프 파일이 없다면 작업관리자에서 생성해도 괜찮고 혹시나 샘플이 필요하다면 밑에 샘플을 지원하는 링크에서 다운로드를 진행 하면 된다. 다행히?도 Volatility는 메모리 샘플을 지원하고 있다.

Volatility는

Volatility는

README.txt 에서 읽어 봤다.

Volatility Samples Link

리눅스에서 사용 방법

# Volatility 2
$ sudo apt-get install git
$ git clone https://github.com/volatilityfoundation/volatility.git
$ cd volatility/
$ sudo python setup.py install
$ sudo apt-get install yara
$ sudo apt-get install python-pip
$ sudo -H pip install --upgrade pip
$ sudo -H pip install distorm3 pycrypto openpyxl Pillow
# Volatility 3
$ git clone https://github.com/volatilityfoundation/volatility3.git
$ cd volatility3/
$ sudo apt-get install libsnappy-dev
$ pip3 install -r requirements.txt
$ python3 setup.py build 
$ sudo python3 setup.py install

Volatility plugin

pstree : 프로세스를 트리구조로 출력 procdump : 프로세스 실행파일 추출 hivelist : 메모리상의 파일 cmdscan : cmd에서 실행한 명령어 확인 psxview : 프로세스 은닉을 탐지하기 위해 다양한 방식으로 프로세스 등을 조회 cmdline : cmd에서 실행한 명령어 이력 확인

이뿐만이 아니라 자신이 필요한 플러그인이 있으면 직접 만들어서 사용이 가능 하다. 하지만 대부분 만들어져 있기 때문에 밑에 링크를 클릭해서 다양한 플러그인을 확인하는것도 좋은 방법중 하나이다.

Volatility plugin set of descriptions

Wrap-up

이렇게 퀄리티 높은 툴을 오픈소스로 공개 할수 있다는것에 진심으로 대단하고 부럽다. 이 툴에 대해서 공부한 이유는 포렌식을 공부하다 많은 사람들이 이 툴을 사용하고 있었는데 옛날 자료들이 많이 있고 파이썬 버전도 2.X대를 사용 하고 있어서 작동이 되지 않았다. 또한 리눅스에서는 까다로운 작업이 있었다. 그래서 이 툴을 사용하는데 약간의 어려움이 있었다.

따라서 volatility2 가 아니라 volatility3 가 궁금했었고 앞으로는 volatility3를 사용할거 같은데 문제는 아직 volatility3 전용 플러그인이 많이 부족하다. 또한 지금 글 작성 하는 기준 최신 os들을 지원하고 있지 않는다. 그렇기 때문에 아직 volatility3에 대한 연구가 더 필요하다. 오히려 잘 된거 같다. volatility3에 대해 연구도 많이 하고 앞으로 어떻게 사용해야하는지는 더 자세하게 포스팅 하려고 한다.

Do you think it’s similar tools?

ReKall

Redline

Official website

VOLATILITY

volatility3

Volatility Labs

References & Sites

Volatility를 활용한 메모리 분석 - 설치 및 플러그인 종류

[Tool] Volatility

volatility3를 활용한 메모리 분석 (1) - Windows 10

volatility3를 활용한 메모리 분석 (2) - Ubuntu Linux

volatility3를 활용한 메모리 분석 (3) - macOS

get to the top

저의 글을 읽어 주셔서 감사합니다. 문제가 있으면 저의 메일로 연락 주시면 감사하겠습니다. 댓글과 피드백 또한 감사합니다.
Thank you for visiting my blog. If you have any problems, please contact me by e-mail. Thanks also for the comments and feedback.

태그: , ,

카테고리:

업데이트:

댓글남기기