geunyeong's blog

Table of Contents Abstract 이번 글에서는 프로세스의 가상 메모리에서 URL 문자열을 추출하는 플러그인을 만들어 본다. 플러그인 명령행 인자로 PID나 프로세스 이름을 선택적으로 입력받는다. 둘 다 입력되지 않으면 모든 프로세스의 가상 메모리에서 URL 문자열을 추출하고, PID가 주어지면 해당 프로세스만, 프로세스 이름이 주어지면 해당 프로세스들에서 URL 문자열을 추출한다. Volatility3 Documentation의 심플 플러그인 만드는 법을 따라했던 전 글을 참고하면 좋을 것 같다. #3 Volatility - 간단 플러그인 만들기 https://geun-yeong.tistory.com/61 Make an URL Finder Plugin Declare the Plugin C..

Table of Contents Abstract Volatility3 Documentation에는 간단한 플러그인을 만들어보는 예제 글이 있다. 이를 통해 플러그인을 만드는 법을 알아보자. https://volatility3.readthedocs.io/en/latest/simple-plugin.html How to write a Simple Plugin Volatility3 Location: D:\Volatility\volatility3 My Plugin Location: \volatility3\framework\plugins\myplugins My Plugin File Name: mydlllist.py Purpose 본 글에서 만들어볼 플러그인은 시스템에서 실행 중인 프로세스들의 모듈 목록을 출력하는 ..

Table of Contents Abstract 앞선 글에선 단순히 Volatility3의 플러그인 파일로 인식되게끔만 했다. 이번엔 실행 가능한 Hello World 플러그인을 만들어보자. https://geun-yeong.tistory.com/58 How to make a Volatility Plugin Write a code 앞선 글에서 만든 testplugin.py를 재활용했다. 아래 코드는 플러그인으로써 실행되기 위한 최소한의 코드다. from volatility3.framework import interfaces, renderers class TestPlugin(interfaces.plugins.PluginInterface): """My Test Plugin""" _required_framew..

Table of Contents Abstract 본 글에서는 Volatility3을 사용해 플러그인을 만들기 위한 가장 기본적인 준비 과정을 알아본다. 단순하게 빈 플러그인 파일을 만들어 vol.py가 해당 파일을 플러그인으로 인식하도록 만드는 방법을 알아볼 것이다. 주의할 점은 사용할 수 있는 수준이 아니라 단순히 플러그인 파일이라고 인식만 하게 하는 것이다. 해당 플러그인을 실행하려 하면 에러가 발생한다. 실행 가능한 플러그인을 만드는 튜토리얼은 아래 링크에 있다. https://geun-yeong.tistory.com/59 How to make a Volatility Plugin 본 글은 Volatility 3 Framework 1.0.1을 기준으로 작성됐다. Volatility3 레포지토리를 D:..