ツール「KaniVola」は、メモリ解析を行う「Volatility」を、GUIインターフェースで行えるものです。
しかし、メモリ解析は分析が難しいだけでなく、保全したメモリを解析すれば、必ず表示されるわけではないと思った方が良いです。
◆カテゴリ:イメージスキャン/変換
コマンド:imageinfo
プロファイル(抽出元(メモリ)の端末のOS種類)が不明な場合は、これで判明する。
◆ カテゴリ:ネットワーク
コマンド:netscan
TCP、UDPの接続状態を確認する場合、これを使用する。
◆ カテゴリ:プロセス/DLL
コマンド:pslist
プロセスを確認する
◆ カテゴリ:プロセス/DLL
コマンド:pstree
子プロセスを確認する。
◆ カテゴリ:プロセス/DLL
コマンド:cmdscan
端末で実行されたコマンドを確認する。
◆ カテゴリ:プロセス/DLL
コマンド:consoles
端末で実行されたコマンドの結果を確認する。
コメント