Volatility - CheatSheet

Support HackTricks

​​RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'daki en önemli etkinliklerden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplinde teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.

Eğer birkaç Volatility eklentisini paralel olarak başlatacak hızlı ve çılgın bir şey istiyorsanız, şunu kullanabilirsiniz: https://github.com/carlospolop/autoVolatility

python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)

Kurulum

volatility3

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py install
python3 vol.py —h

volatility2

Download the executable from https://www.volatilityfoundation.org/26

Volatility Komutları

Resmi belgeye Volatility komut referansı bağlantısından erişebilirsiniz.

“list” ve “scan” eklentileri hakkında bir not

Volatility, bazen isimlerinde yansıtılan iki ana eklenti yaklaşımına sahiptir. “list” eklentileri, süreçler gibi bilgileri almak için Windows Kernel yapıları arasında gezinmeye çalışır (bellekteki _EPROCESS yapılarının bağlı listesini bulma ve yürütme), OS handle'ları (handle tablosunu bulma ve listeleme, bulunan herhangi bir işaretçiyi çözme vb.). Örneğin, süreçleri listelemesi istendiğinde Windows API'sinin davranışına benzer şekilde çalışırlar.

Bu, “list” eklentilerini oldukça hızlı hale getirir, ancak kötü amaçlı yazılımlar tarafından manipülasyona karşı Windows API'si kadar savunmasızdır. Örneğin, kötü amaçlı yazılım DKOM kullanarak bir süreci _EPROCESS bağlı listesinden ayırırsa, bu süreç Görev Yöneticisi'nde görünmeyecek ve pslist'te de görünmeyecektir.

Diğer yandan, “scan” eklentileri, belirli yapılar olarak çözümlendiğinde anlamlı olabilecek şeyler için belleği kazıma yaklaşımını benimseyecektir. Örneğin, psscan belleği okuyacak ve ondan _EPROCESS nesneleri oluşturmaya çalışacaktır (ilgi çekici bir yapının varlığını gösteren 4 baytlık dizeleri arayan havuz etiketi taraması kullanır). Avantajı, çıkmış süreçleri bulabilmesidir ve kötü amaçlı yazılım _EPROCESS bağlı listesiyle oynasa bile, eklenti hala bellekte yatan yapıyı bulacaktır (çünkü sürecin çalışması için hala var olması gerekir). Dezavantajı ise, “scan” eklentilerinin “list” eklentilerinden biraz daha yavaş olması ve bazen yanlış pozitifler verebilmesidir (çok uzun süre önce çıkmış ve yapısının bazı kısımları diğer işlemler tarafından üzerine yazılmış bir süreç).

Kaynak: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/

OS Profilleri

Volatility3

Readme içinde açıklandığı gibi, desteklemek istediğiniz OS'nin sembol tablosunu volatility3/volatility/symbols içine koymanız gerekir. Çeşitli işletim sistemleri için sembol tablosu paketleri indirme için mevcuttur:

Volatility2

Harici Profil

Desteklenen profillerin listesini almak için:

./volatility_2.6_lin64_standalone --info | grep "Profile"

Eğer indirdiğiniz yeni bir profili (örneğin bir linux profili) kullanmak istiyorsanız, aşağıdaki klasör yapısını bir yere oluşturmanız gerekir: plugins/overlays/linux ve bu klasörün içine profili içeren zip dosyasını koymalısınız. Ardından, profillerin numarasını almak için:

./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
Volatility Foundation Volatility Framework 2.6


Profiles
--------
LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
VistaSP0x64                                   - A Profile for Windows Vista SP0 x64
VistaSP0x86                                   - A Profile for Windows Vista SP0 x86

Linux ve Mac profillerini şu adresten indirebilirsiniz: https://github.com/volatilityfoundation/profiles

Önceki bölümde profilin LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 olarak adlandırıldığını görebilirsiniz ve bunu şu şekilde bir şey çalıştırmak için kullanabilirsiniz:

./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan

Profil Keşfet

volatility imageinfo -f file.dmp
volatility kdbgscan -f file.dmp

imageinfo ve kdbgscan arasındaki farklar

Buradan: Sadece profil önerileri sunan imageinfo'nun aksine, kdbgscan doğru profili ve doğru KDBG adresini (birden fazla varsa) kesin olarak tanımlamak için tasarlanmıştır. Bu eklenti, Volatility profilleriyle bağlantılı KDBGHeader imzalarını tarar ve yanlış pozitifleri azaltmak için mantık kontrolleri uygular. Çıktının ayrıntı seviyesi ve gerçekleştirilebilecek mantık kontrolü sayısı, Volatility'nin bir DTB bulup bulamamasına bağlıdır, bu nedenle doğru profili zaten biliyorsanız (veya imageinfo'dan bir profil öneriniz varsa), bunu kullanmayı unutmayın.

Her zaman kdbgscan'ın bulduğu süreç sayısına bakın. Bazen imageinfo ve kdbgscan birden fazla uygun profil bulabilir, ancak yalnızca geçerli olanın bazı süreçlerle ilişkili olacaktır (Bu, süreçleri çıkarmak için doğru KDBG adresinin gerekli olmasındandır).

# GOOD
PsActiveProcessHead           : 0xfffff800011977f0 (37 processes)
PsLoadedModuleList            : 0xfffff8000119aae0 (116 modules)
# BAD
PsActiveProcessHead           : 0xfffff800011947f0 (0 processes)
PsLoadedModuleList            : 0xfffff80001197ac0 (0 modules)

KDBG

Kernel hata ayıklayıcı bloğu olarak adlandırılan KDBG, Volatility tarafından yapılan adli görevler için kritik öneme sahiptir. KdDebuggerDataBlock olarak tanımlanan ve _KDDEBUGGER_DATA64 türünde olan bu blok, PsActiveProcessHead gibi temel referanslar içerir. Bu özel referans, tüm süreçlerin listelenmesini sağlayan süreç listesinin başına işaret eder; bu da kapsamlı bellek analizi için temeldir.

OS Bilgisi

#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
./vol.py -f file.dmp windows.info.Info

The plugin banners.Banners dump'ta linux banner'larını bulmak için vol3'te kullanılabilir.

Hashler/Şifreler

SAM hash'lerini, domain önbellekli kimlik bilgilerini ve lsa sırlarını çıkarın.

./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets

Bellek Dökümü

Bir sürecin bellek dökümü, sürecin mevcut durumunun her şeyini çıkarır. procdump modülü yalnızca kodu çıkarır.

volatility -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/

​​​RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'daki en önemli etkinliklerden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.

Süreçler

Süreçleri listele

Şüpheli süreçleri (isimle) veya beklenmedik çocuk süreçleri (örneğin, iexplorer.exe'nin bir çocuğu olarak cmd.exe) bulmaya çalışın. Gizli süreçleri tanımlamak için pslist'in sonucunu psscan ile karşılaştırmak ilginç olabilir.

python3 vol.py -f file.dmp windows.pstree.PsTree # Get processes tree (not hidden)
python3 vol.py -f file.dmp windows.pslist.PsList # Get process list (EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # Get hidden process list(malware)

Dump proc

./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory

Komut satırı

Şüpheli bir şey çalıştırıldı mı?

python3 vol.py -f file.dmp windows.cmdline.CmdLine #Display process command-line arguments

cmd.exe içinde yürütülen komutlar conhost.exe (veya Windows 7'den önceki sistemlerde csrss.exe) tarafından yönetilmektedir. Bu, eğer bir saldırgan cmd.exe'yi bir bellek dökümü alınmadan önce sonlandırırsa, conhost.exe'nin belleğinden oturumun komut geçmişini geri kazanmanın hala mümkün olduğu anlamına gelir. Bunu yapmak için, konsolun modülleri içinde olağandışı bir etkinlik tespit edilirse, ilişkili conhost.exe sürecinin belleği dökülmelidir. Ardından, bu döküm içinde strings arayarak, oturumda kullanılan komut satırları potansiyel olarak çıkarılabilir.

Ortam

Her çalışan sürecin çevre değişkenlerini al. Bazı ilginç değerler olabilir.

python3 vol.py -f file.dmp windows.envars.Envars [--pid <pid>] #Display process environment variables

Token ayrıcalıkları

Beklenmedik hizmetlerde ayrıcalıklı token'leri kontrol edin. Bazı ayrıcalıklı token'leri kullanan süreçleri listelemek ilginç olabilir.

#Get enabled privileges of some processes
python3 vol.py -f file.dmp windows.privileges.Privs [--pid <pid>]
#Get all processes with interesting privileges
python3 vol.py -f file.dmp windows.privileges.Privs | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

SIDs

Bir işlem tarafından sahip olunan her SSID'yi kontrol edin. Bir ayrıcalıklı SID kullanan işlemleri (ve bazı hizmet SID'lerini kullanan işlemleri) listelemek ilginç olabilir.

./vol.py -f file.dmp windows.getsids.GetSIDs [--pid <pid>] #Get SIDs of processes
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

Handles

Bir işlemin bir handle'ı olduğu diğer dosyalara, anahtarlara, iş parçacıklarına, süreçlere... hangi bağlantıları kurduğunu bilmek faydalıdır.

vol.py -f file.dmp windows.handles.Handles [--pid <pid>]

DLL'ler

./vol.py -f file.dmp windows.dlllist.DllList [--pid <pid>] #List dlls used by each
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory process

Süreç başına dizgiler

Volatility, bir dizginin hangi işleme ait olduğunu kontrol etmemize olanak tanır.

strings file.dmp > /tmp/strings.txt
./vol.py -f /tmp/file.dmp windows.strings.Strings --strings-file /tmp/strings.txt

Ayrıca, yarascan modülünü kullanarak bir süreç içinde dizeleri aramaya da olanak tanır:

./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-rules "https://" --pid 3692 3840 3976 3312 3084 2784
./vol.py -f file.dmp yarascan.YaraScan --yara-rules "https://"

UserAssist

Windows, çalıştırdığınız programları UserAssist anahtarları adı verilen kayıt defteri özelliği ile takip eder. Bu anahtarlar, her programın ne kadar sıklıkla çalıştırıldığını ve en son ne zaman çalıştırıldığını kaydeder.

./vol.py -f file.dmp windows.registry.userassist.UserAssist

​​​​RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'daki en önemli etkinliklerden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.

Hizmetler

./vol.py -f file.dmp windows.svcscan.SvcScan #List services
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

./vol.py -f file.dmp windows.netscan.NetScan
#For network info of linux use volatility2

Kayıt hives

Mevcut hives'ları yazdır

./vol.py -f file.dmp windows.registry.hivelist.HiveList #List roots
./vol.py -f file.dmp windows.registry.printkey.PrintKey #List roots and get initial subkeys

Bir değer al

./vol.py -f file.dmp windows.registry.printkey.PrintKey --key "Software\Microsoft\Windows NT\CurrentVersion"

Dump

#Dump a hive
volatility --profile=Win7SP1x86_23418 hivedump -o 0x9aad6148 -f file.dmp #Offset extracted by hivelist
#Dump all hives
volatility --profile=Win7SP1x86_23418 hivedump -f file.dmp

Dosya Sistemi

Bağlama

#See vol2

Tarama/döküm

./vol.py -f file.dmp windows.filescan.FileScan #Scan for files inside the dump
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --physaddr <0xAAAAA> #Offset from previous command

Ana Dosya Tablosu

# I couldn't find any plugin to extract this information in volatility3

NTFS dosya sistemi, master file table (MFT) olarak bilinen kritik bir bileşen kullanır. Bu tablo, bir hacimdeki her dosya için en az bir giriş içerir ve MFT'nin kendisini de kapsar. Her dosya hakkında boyut, zaman damgaları, izinler ve gerçek veriler gibi hayati bilgiler, MFT girişleri içinde veya bu girişler tarafından referans verilen MFT dışındaki alanlarda kapsüllenmiştir. Daha fazla ayrıntı için resmi belgeleri inceleyebilirsiniz.

SSL Anahtarları/Sertifikaları

#vol3 allows to search for certificates inside the registry
./vol.py -f file.dmp windows.registry.certificates.Certificates

Kötü Amaçlı Yazılım

./vol.py -f file.dmp windows.malfind.Malfind [--dump] #Find hidden and injected code, [dump each suspicious section]
#Malfind will search for suspicious structures related to malware
./vol.py -f file.dmp windows.driverirp.DriverIrp #Driver IRP hook detection
./vol.py -f file.dmp windows.ssdt.SSDT #Check system call address from unexpected addresses

./vol.py -f file.dmp linux.check_afinfo.Check_afinfo #Verifies the operation function pointers of network protocols
./vol.py -f file.dmp linux.check_creds.Check_creds #Checks if any processes are sharing credential structures
./vol.py -f file.dmp linux.check_idt.Check_idt #Checks if the IDT has been altered
./vol.py -f file.dmp linux.check_syscall.Check_syscall #Check system call table for hooks
./vol.py -f file.dmp linux.check_modules.Check_modules #Compares module list to sysfs info, if available
./vol.py -f file.dmp linux.tty_check.tty_check #Checks tty devices for hooks

Yara ile Tarama

Tüm yara kötü amaçlı yazılım kurallarını github'dan indirmek ve birleştirmek için bu scripti kullanın: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 rules dizinini oluşturun ve çalıştırın. Bu, kötü amaçlı yazılım için tüm yara kurallarını içeren malware_rules.yar adlı bir dosya oluşturacaktır.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
#Only Windows
./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-file /tmp/malware_rules.yar
#All
./vol.py -f file.dmp yarascan.YaraScan --yara-file /tmp/malware_rules.yar

MISC

Dış eklentiler

Eğer dış eklentileri kullanmak istiyorsanız, eklentilerle ilgili klasörlerin kullanılan ilk parametre olduğundan emin olun.

./vol.py --plugin-dirs "/tmp/plugins/" [...]

Autoruns

https://github.com/tomchop/volatility-autoruns adresinden indirin.

volatility --plugins=volatility-autoruns/ --profile=WinXPSP2x86 -f file.dmp autoruns

Mutexes

./vol.py -f file.dmp windows.mutantscan.MutantScan
./vol.py -f file.dmp windows.symlinkscan.SymlinkScan

Bash

Bellekten bash geçmişini okumak mümkündür. Ayrıca .bash_history dosyasını dökebilirsiniz, ancak bu devre dışı bırakıldı, bu nedenle bu volatility modülünü kullanabileceğiniz için mutlu olacaksınız.

./vol.py -f file.dmp linux.bash.Bash

Zaman Çizelgesi

./vol.py -f file.dmp timeLiner.TimeLiner

Sürücüler

./vol.py -f file.dmp windows.driverscan.DriverScan

Panoyu al

#Just vol2
volatility --profile=Win7SP1x86_23418 clipboard -f file.dmp

IE geçmişini al