본문 바로가기

Learning/ └Kali Linux

[Forensics Tools] pdgmail

 

RAM 포렌식 도구 (pdgmail)

■ Package Description

pd 프로세스 메모리 덤프에서 gmail 아티팩트를 수집하는 Python 스크립트. 연락처, 

전자 메일, 마지막 액세스 시간, IP 주소 등을 포함하여 메모리 이미지에서 찾거나 추출할수 있다.


[사용방법]

# pdgmail -v -f file.dmp

  

참조 사이트

https://www.question-defense.com/2012/04/02/pdgmail-backtrack-forensics-ram-forensics-tools-pdgmail

http://cyborg.ztrela.com/pdgmail.php/

 

■ OPTIONS

# pdfid -h

# pdgmail -h
Usage: /usr/bin/pdgmail [OPTIONS]

Options:
   -f, --file       the file to use (stdin if no file given)
   -b, --bodies     don't look for message bodies (helpful if you're getting too many false positives on the mb regex)
   -h, --help       prints this
   -v,--verbose     be verbose (prints filename, other junk)
   -V,--version     prints just the version info and exits.

This expects to be unleashed on the result of running strings -el on a pd dump from windows process memory. 

Anything other than that, your mileage will certainly vary.

 

[EX] 사용 예제

# pdgmail -v -f file.dmp


 



 

 

'Learning >  └Kali Linux' 카테고리의 다른 글

[Forensics Tools] RegRipper  (0) 2017.01.12
[Forensics Tools] peepdf  (0) 2017.01.12
[Forensics Tools] pdfid  (0) 2017.01.11
[Forensics Tools] pdf-parser  (0) 2017.01.11