[Forensics Tools] pdgmail

 

RAM 포렌식 도구 (pdgmail)

■ Package Description

pd 프로세스 메모리 덤프에서 gmail 아티팩트를 수집하는 Python 스크립트. 연락처, 

전자 메일, 마지막 액세스 시간, IP 주소 등을 포함하여 메모리 이미지에서 찾거나 추출할수 있다.

[사용방법]

# pdgmail -v -f file.dmp

  

참조 사이트

https://www.question-defense.com/2012/04/02/pdgmail-backtrack-forensics-ram-forensics-tools-pdgmail

http://cyborg.ztrela.com/pdgmail.php/

 

■ OPTIONS

# pdfid -h

# pdgmail -h Usage: /usr/bin/pdgmail [OPTIONS] Options:    -f, --file       the file to use (stdin if no file given)    -b, --bodies     don't look for message bodies (helpful if you're getting too many false positives on the mb regex)    -h, --help       prints this    -v,--verbose     be verbose (prints filename, other junk)    -V,--version     prints just the version info and exits. This expects to be unleashed on the result of running strings -el on a pd dump from windows process memory.  Anything other than that, your mileage will certainly vary.

 

[EX] 사용 예제

# pdgmail -v -f file.dmp