Volatility 설치 및 사용법 (Windows)

1. Volatility 설치

Volatility 설치하는 방법에는 크게 두 가지가 있다.

 

1.1 vol.py 1.2 standalone 으로 설치

코드를 다운받아서 설정하거나, 실행파일을 다운해서 사용하는 방법이다.

1.2 가 설정하는 게 적어서 더 편리할 수 있지만,, 

다양한 기능과 수정을 위해선 1.1 로 하는 것이 편리하다.

(나도 1.2 로 했다가 불편해서 결국 1.1 로 설치하였다)

 

 

1.1 vol.py

코드로 다운받아서 설정.

 

1) Python 2.7.x 설치

Python 홈페이지에서 2.7.x 를 다운받아주면 된다. (www.python.org/downloads/release/python-2718/)

이때 Add pyton.exe to Path 를 설정해줘서 cmd 에서 바로 python 을 실행할 수 있도록 환경 변수를 설정해준다.

 

2) Pycrypto 2.6 설치 (www.voidspace.org.uk/python/modules.shtml#pycrypto)

PyCrypto 2.6 for Pyton 2.7 64 bit 를 설치해주면 된다.

 

 

 

 

3) distorm3-3.3.3 설치 (github.com/gdabah/distorm/releases)

4

4) PIL (Python Imaging Library) 1.1.7 설치 (www.pythonware.com/products/pil/)

Python Imaging Library 1.1.7 for Python 2.7 선택

 

혹은 cmd 에 pip install Pillow 를 입력하여도 된다.

 

5) Volatility 설치 (www.volatilityfoundation.org/)

source code 를 선택한다.

*여기서 standalone 으로 다운받아서 설치하는 게 1.2 이다. 나는 그렇게 했다가 프로파일 설정 등이 불편해서 1.1 을 선호한다. 또한 실행해보니 1.2 로 설치했을 때보다 속도도 빠른 것 같다.

 

 

 

6) 최종

 

5)에서 다운받은 파일을 python27 폴더의 Lib\site-packages 로 옮겨주고, 해당 경로(C:\Python27\Lib\site-packages\volatility-2.6\volatility-master) 에서 다음 명령어들을 실행한다.

 

C:\Python27\Lib\site-packages\volatility-2.6\volatility-master> python setup.py build

 

C:\Python27\Lib\site-packages\volatility-2.6\volatility-master> python setup.py install

 

잘 설치되었는지 python vol.py -h 로 확인한다.

 

 

 

 

1.2 standalone 으로 설치

: Volatility 2.6 Standalone Windows Program 사용

 

1) 홈페이지 접속 (www.volatilityfoundation.org/)

 

2) Releases -> 2.6 선택 (버전의 차이. 필요에 따라 선택하면 된다) (www.volatilityfoundation.org/26)

 

3) Volatility 2.6 Windows Standalone Executable (x64) 선택

 

4) 압축 풀어주고, path 설정해주기

(시스템 고급 설정 -> 환경 변수 -> path 추가 -> volatility 설치한 폴더 추가)

 

5) cmd 를 통해 사용

 

 

 

 

2. 사용법

 

volatility 는 기본적으로 CLI 기반 프로그램이라 Windows 에서 cmd 를 통해 실행해야 한다.

설치할 때 환경변수 설정을 해줬기 때문에, 해당 파일의 이름을 명령어로 실행하면 된다.

 

(여기서 해당 파일 이름은 volatility 로 설정되어 있다고 가정하고 작성합니다. 본인의 설정에 따라 사용하면 됩니다.)

 

 

2.0 주요 옵션

-h, --help	도움말 보기
--profile=	덤프된 파일의 프로파일 지정 (운영체제, 버전 등)
--info	등록되어있는 모든 오브젝트의 정보 확인
--output=text	출력 포멧 txt 로 설정
-v, --verbose	상세 정보 확인
-d, --debug	volatility 디버그
-f, --filename	메모리 이미지의 경로 설정

 

2.1 기본 명령어 형식

volatility -f [덤프 파일] [플러그인]

volatility -f [덤프 파일] --profile=[운영체제] [플러그인]

 

대부분의 플러그인들은 이 2.1 의 기본 명령어 형식을 따라 사용하면 된다.

 

아래에서 소개하는 플러그인 외에도 수많은 플러그인이 존재하고, 직접 만들수도 있다.

 

 

2.2 운영체제 분석

volatility -f [덤프 파일] imageinfo

(덤프 파일의 이미지 정보 분석)

--> 예상 운영체제, 메모리 주소 공간, DTB 와 KDBG, KCPR 의 주소 출력

 

 

2.3 프로세스 분석

- psscan : 실행 중인/종료된 프로세스 정보 분석

volatility -f [덤프 파일] --profile=[운영체제] psscan

- psxview : pslist, psscan 등 여러 방법으로 확인한 프로세스 정보 비교

volatility -f [덤프 파일] --profile=[운영체제] psxview

- pstree : 프로세스의 부모/자식관계 분석

volatility -f [덤프 파일] --profile=[운영체제] pstree

 

 

2.4 네트워크 분석

- connections : 활성화 상태의 네트워크 연결 정보(윈도우 xp/Vista)

volatility -f [덤프 파일] --profile=[운영체제] connections 

- connscan : 활성화 상태의 네트워크 연결 정보/ 이미 종료된 네트워크 연결 정보

volatility -f [덤프 파일] --profile=[운영체제] connscan 

- netscan : 활성화 상태의 네트워크 연결 정보(윈도우7 이상)

volatility -f [덤프 파일] --profile=[운영체제] netscan

 

 

2.5 시간정보 획득

volatility -f [덤프 파일] timeliner --output-file result.csv

--> 아티팩트를 시간과 함께 csv 파일로 출력

 

 

2.6 파일 분석

- filescan : 메모리에 로드 된 파일정보 스캔, 특정 확장자 및 파일 정보 찾기

(Windows) volatility -f [덤프 파일] --profile=[운영체제] filescan | findstr [확인하고자 하는 파일의 문자열] 

(Linux) volatility -f [덤프 파일] --profile=[운영체제] filescan | grep [확인하고자 하는 파일의 문자열] 

(ex. findstr ".jpg)

 

 

2.7 실행파일 추출 방법

volatility -f [덤프 파일] procexedump -D [저장경로] -p [PID]

 

 

 

 

 

Ref.

[1] www.slideshare.net/youngjunchang14/memory-forensics-with-volatility 

[2] moaimoai.tistory.com/198

[3] velog.io/@jjewqm/%EB%A9%94%EB%AA%A8%EB%A6%AC-%ED%8F%AC%EB%A0%8C%EC%8B%9D

[4] ghdwn0217.tistory.com/62

[5] blog.naver.com/i1004yu/221973880923

 

.