이전에 작성하여 올렸던 플러그인의 속도 문제를 vaddump 기능을 통해 개선하고 google 계정 정보 추출 기능을 추가 하였다. 다음 이미지는 이전 플러그인과의 속도를 비교한 화면임과 동시에 구글 기능 동작 화면이다.



이전 버전의 플러그인과 마찬가지로 -p <PID> 옵션을 지정 해 주면 해당 프로세스의 VAD 영역만 검색한다.




userinfo.py



오늘 아침에 Facebook 뉴스피드를 통해 볼라틸리티 페이스북 플러그인을 접하였다. 그런데 플러그인의 기능이 json포맷으로 된 뉴스피드 또는 메시지 내용을 추출하는 것일 뿐 사용자의 계정정보를 추출하는 기능은 없어 직접 볼라틸리티 플러그인으로 한번 만들어 보았다.


기존 페이스북 플러그인 : https://github.com/jeffbryner/volatilityPlugins


아래는 글쓴이가 직접 만든 플러그인을 동작한 모습이다.



동작 방식은 기존 페이스북 플러그인의 코드를 응용 해 동일하게 브라우저 프로세스의 데이터를 파싱 해 해당 데이터에서 사용자 계정 정보를 추출하였다. 하지만 이 방식은 요즘 같이 브라우저 탭 기능 때문에 프로세스가 여러개로 생길 경우 프로세스 크기에 따라 속도차이가 크게 발생 할 수 있다. 


추후에 procmemdump 등의 기능을 이용 해 속도를 높이고 facebook 뿐만이 아니라 트위터, 구글 등 브라우저에서 추출 할 수 있는 대부분의 데이터를 추출 할 수 있도록 수정 해야 겠다.



facebook_userinfo.py


p.s - -p <PID> 옵션을 사용하면 지정한 프로세스에서만 데이터 검색을 수행한다.

+ Recent posts