Forensic(KaniVola-1)

ツール「KaniVola」は、メモリ解析を行う「Volatility」を、GUIインターフェースで行えるものです。

しかし、メモリ解析は分析が難しいだけでなく、保全したメモリを解析すれば、必ず表示されるわけではないと思った方が良いです。

◆カテゴリ:イメージスキャン/変換
 コマンド:imageinfo
 プロファイル(抽出元(メモリ)の端末のOS種類)が不明な場合は、これで判明する。

◆カテゴリ:ネットワーク
 コマンド:netscan
 TCP、UDPの接続状態を確認する場合、これを使用する。

◆カテゴリ:プロセス/DLL
 コマンド:pslist
  プロセスを確認する

◆ カテゴリ:プロセス/DLL
 コマンド:pstree
  子プロセスを確認する。

◆カテゴリ:プロセス/DLL
 コマンド:cmdscan
  端末で実行されたコマンドを確認する。

◆カテゴリ:プロセス/DLL
 コマンド:consoles
  端末で実行されたコマンドの結果を確認する。

コメント

タイトルとURLをコピーしました