volatility vs rekall
메모리 포렌식 메모리 포렌식이란 메모리를 포렌식적으로 의미 있는 상태로 보존한 후에 사고와 연관된 정보를 최대한 많이 추출한 후 이를 법정이나, 사고 상황에 대한 결과물로 제출하는 것을 말한다. 메모리 덤프에는 악성 실행파일, 시스템 연관 데이터 구조, 관련 사용자 활동 정보와 악성 이벤트 등 다양한 자료들이 포함되어 있다. 메모리 포렌식을 위한 오픈소스 도구로 대표적으로 CLI 기반 도구인 Volatility와 Rekall, GUI 기반 도구인 Redline이 있다. 칼리 리눅스에는 기본적으로 Volatility와 Rekall이 설치되어 있고, 이를 활용하여 분석을 진행하였다. Volatility Volatility는 오픈 소스이고 파이썬으로 작성되어 있어서 누구나 도구를 다운로드 받아 분석을 수행할 ..
