Đây là bài cuối của 3 phần Memory Dump Analysis with Volatility.

Bài 1: https://minhthuongeh.wordpress.com/2018/08/05/memory-dump-analysis-with-volatility-1/

Bài 2: https://minhthuongeh.wordpress.com/2018/08/05/memory-dump-analysis-with-volatility-2/

Ở phần này, tôi sẽ trình bày cách xem lại lịch sử của process cmd.exe.

Đầu tiên, ta cũng phân tích imageinfo để biết profile.

Screenshot from 2018-08-04 20-06-38

Sau đó, ta tìm xem có process cmd tồn tại không.

Screenshot from 2018-08-05 00-27-20.png

Và sau khi có được thông tin, tôi sẽ xem lịch sử người dùng của cmd bằng câu lệnh.

Screenshot from 2018-08-05 00-28-18.png

Chỉ như vậy thôi. Rất đơn giản.