볼라틸리티 플러그인 썸네일형 리스트형 [기고] 데일리시큐 기고 글 연재! 볼라틸리티 플러그인 개발이란 주제를 가지고 데일리시큐에서 글을 연재하게 되었습니다. 연재 회분은 2회 밖에 되지 않지만, 그래도 이를 발판 삼아 계속해서 기고글을 연재 했으면 좋겠네요 ^^ 1편 - http://www.dailysecu.com/news_view.php?article_id=5078 2편 - http://www.dailysecu.com/news_view.php?article_id=5128 더보기 [Plugin] 바이러스 토탈 프로세스 스캔 플러그인 (With Volatility) 메모리 이미지에서 원하는 프로세스를 선택하면 바이러스 토탈에 업로드하여 스캔 결과를 출력 해 주는 플러그인이다. root@kali:~/Desktop# vol -f Windows --profile=WinXPSP2x86 malscan -p 1472Volatile Systems Volatility Framework 2.1 ------------------------------- --------------- ---------------------------------------- [!] Process to dump in the current directory. [+] To start a process dump.Process(V) ImageBase Name Result---------- ---------- ---.. 더보기 [Plugin] 프로세스 커맨드라인 출력 플러그인 (With Volatility) 프로세스의 커맨드라인은 침해대응에서 중요한 부분을 차지한다. 해당 프로세스가 어떤 일을 하는지 아주 쉽게 파악을 할 수 있게 정보를 제공하는 부분이 커맨드라인이다. 하지만 현재 볼라틸리티 플러그인 중 커맨드라인만 따로 출력 해 주는 플러그인이 존재하지 않아 한번 만들어 보았다.(dlllist 플러그인에서는 커맨드라인을 출력 하지만, dlllist와 같이 출력되기 때문에 가독성이 떨어진다.) 현재 볼라틸리티에서는 EPROCESS Scanning으로 숨겨진 프로세스나 죽은 프로세스를 찾아주긴 하지만 숨겨진 프로세스 파악이 목적이어서 PEB 하부 구조체들까지 스캐닝을 하지는 않아 숨겨진 프로세스에 대한 커맨드라인은 아직 구현하지 못하였다.현재 생각으로는 메모리 전체를 대상으로 커맨드라인을 파싱하거나 숨겨진 프.. 더보기 [plugin update 2013-08-01 20:18] 계정 정보 추출 플러그인 (with Volatility) [업데이트 내용] - daum 계정 추출 기능 추가 - -s 옵션 추가 -s 옵션은 추출하고자 하는 계정 사이트명을 지정하는 옵션이다. 만약 해당 옵션을 지정하지 않으면 다음과 같이 플러그인에서 지정하는 모든 사이트의 계정들이 추출되어 출력된다. -s 옵션으로 페이스북을 지정하면 다음과 같이 페이스북 계정만 추출되어 출력된다. 단일지정뿐만 아니라 복수지정도 가능하다. p.s - 네이버도 추가하려 했으나 네이버 로그인 과정에서 암호화 하는 부분 때문에 브라우저별로 메모리에 흔적을 남기는 형태가 각양각색이어서 추가하지 않았다. 더보기 [Plugin Update 2013-07-31 16:50] 계정 정보 추출 플러그인 (with Volatility) 이전에 작성하여 올렸던 플러그인의 속도 문제를 vaddump 기능을 통해 개선하고 google 계정 정보 추출 기능을 추가 하였다. 다음 이미지는 이전 플러그인과의 속도를 비교한 화면임과 동시에 구글 기능 동작 화면이다. 이전 버전의 플러그인과 마찬가지로 -p 옵션을 지정 해 주면 해당 프로세스의 VAD 영역만 검색한다. 더보기 이전 1 2 다음
