使用方法
MalConfScan には malconfscan と malstrscan の2つの機能があります。
malconfscan はマルウエアの設定情報やデコードした文字列、DGAドメインなどを表示します。
$ python vol.py malconfscan -f images.mem --profile=Win7SP1x64
malstrscan はマリシャスなコードが参照する文字列をリストします。マルウエアの設定情報は通常エンコードされています。マルウエアは設定情報をデコードするため、メモリ上にそのデータが残っている場合があります。この機能は、そのようなデコードされた設定情報をリストできる可能性があります。
この機能は、デフォルトではPEがロードされたメモリスペースからのみ文字列をリストします。 -aオプションを使うと、ヒープなどのペアレントメモリスペースもリストします。
$ python vol.py malstrscan -a -f images.mem --profile=Win7SP1x64
