Forensic(KaniVola-1)

ツール「KaniVola」は、メモリ解析を行う「Volatility」を、GUIインターフェースで行えるものです。

しかし、メモリ解析は分析が難しいだけでなく、保全したメモリを解析すれば、必ず表示されるわけではないと思った方が良いです。

◆カテゴリ:イメージスキャン/変換

 コマンド:imageinfo
 プロファイル(抽出元(メモリ)の端末のOS種類)が不明な場合は、これで判明する。

◆ カテゴリ:ネットワーク

  コマンド:netscan
  TCP、UDPの接続状態を確認する場合、これを使用する。

◆ カテゴリ:プロセス/DLL

  コマンド:pslist
  プロセスを確認する

◆ カテゴリ:プロセス/DLL 

  コマンド:pstree
  子プロセスを確認する。

◆ カテゴリ:プロセス/DLL

  コマンド:cmdscan
  端末で実行されたコマンドを確認する。

◆ カテゴリ:プロセス/DLL

  コマンド:consoles
  端末で実行されたコマンドの結果を確認する。

コメント

タイトルとURLをコピーしました