메모리 포렌식 기초 및 Volatility 활용

1. 메모리 포렌식 개요

• 휘발성 데이터: 시스템의 전원이 끊어지면 **손실되는 정보** (RAM에 존재하는 흔적)로, **가장 먼저 수집**해야 합니다.
• 메모리 덤프: RAM에 저장된 데이터를 파일로 추출하는 과정이며, Dumpit, FTK Imager 등의 도구를 사용합니다.

2. Volatility 프레임워크 활용

가장 많이 사용되는 오픈소스 메모리 포렌식 툴(CLI 방식)입니다.

• `imageinfo`: 메모리 덤프 파일의 **운영체제 및 프로파일**을 확인합니다.
• `pslist` / `psscan`: 실행 중이거나 은닉된 **프로세스 목록**을 확인합니다.
• `netscan`: 메모리 덤프 당시의 활성 **네트워크 연결 정보**를 확인합니다.
• `cmdline`: 프로세스가 실행될 때 사용된 **인자값**을 확인합니다.