Volatility - CheatSheet

Support HackTricks

тАЛ

тАЛтАЛRootedCON рд╕реНрдкреЗрди рдореЗрдВ рд╕рдмрд╕реЗ рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХ рд╕рд╛рдЗрдмрд░рд╕реБрд░рдХреНрд╖рд╛ рдХрд╛рд░реНрдпрдХреНрд░рдо рд╣реИ рдФрд░ рдпреВрд░реЛрдк рдореЗрдВ рд╕рдмрд╕реЗ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдореЗрдВ рд╕реЗ рдПрдХ рд╣реИред рддрдХрдиреАрдХреА рдЬреНрдЮрд╛рди рдХреЛ рдмрдврд╝рд╛рд╡рд╛ рджреЗрдиреЗ рдХреЗ рдорд┐рд╢рди рдХреЗ рд╕рд╛рде, рдпрд╣ рдХрд╛рдВрдЧреНрд░реЗрд╕ рд╣рд░ рдЕрдиреБрд╢рд╛рд╕рди рдореЗрдВ рдкреНрд░реМрджреНрдпреЛрдЧрд┐рдХреА рдФрд░ рд╕рд╛рдЗрдмрд░рд╕реБрд░рдХреНрд╖рд╛ рдкреЗрд╢реЗрд╡рд░реЛрдВ рдХреЗ рд▓рд┐рдП рдПрдХ рдЙрдмрд╛рд▓рддрд╛ рд╣реБрдЖ рдмреИрдардХ рдмрд┐рдВрджреБ рд╣реИред

рдпрджрд┐ рдЖрдк рдХреБрдЫ рддреЗрдЬ рдФрд░ рдкрд╛рдЧрд▓ рдЪрд╛рд╣рддреЗ рд╣реИрдВ рдЬреЛ рдХрдИ Volatility рдкреНрд▓рдЧрдЗрдиреНрд╕ рдХреЛ рд╕рдорд╛рдирд╛рдВрддрд░ рдореЗрдВ рд▓реЙрдиреНрдЪ рдХрд░реЗрдЧрд╛, рддреЛ рдЖрдк рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ: https://github.com/carlospolop/autoVolatility

python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)

рд╕реНрдерд╛рдкрдирд╛

volatility3

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py install
python3 vol.py тАФh

volatility2

рдореЗрдердб 1

Download the executable from https://www.volatilityfoundation.org/26

Volatility Commands

Access the official doc in Volatility command reference

A note on тАЬlistтАЭ vs. тАЬscanтАЭ plugins

Volatility рдХреЗ рдкрд╛рд╕ рдкреНрд▓рдЧрдЗрдиреНрд╕ рдХреЗ рд▓рд┐рдП рджреЛ рдореБрдЦреНрдп рджреГрд╖реНрдЯрд┐рдХреЛрдг рд╣реИрдВ, рдЬреЛ рдХрднреА-рдХрднреА рдЙрдирдХреЗ рдирд╛рдореЛрдВ рдореЗрдВ рдкрд░рд┐рд▓рдХреНрд╖рд┐рдд рд╣реЛрддреЗ рд╣реИрдВред тАЬlistтАЭ рдкреНрд▓рдЧрдЗрдиреНрд╕ Windows Kernel рд╕рдВрд░рдЪрдирд╛рдУрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдиреЗрд╡рд┐рдЧреЗрдЯ рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдВрдЧреЗ рддрд╛рдХрд┐ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдЬреИрд╕реА рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд╛рдкреНрдд рдХреА рдЬрд╛ рд╕рдХреЗ (рдореЗрдореЛрд░реА рдореЗрдВ _EPROCESS рд╕рдВрд░рдЪрдирд╛рдУрдВ рдХреА рд▓рд┐рдВрдХ рдХреА рдЧрдИ рд╕реВрдЪреА рдХреЛ рдЦреЛрдЬреЗрдВ рдФрд░ рдЪрд▓рд╛рдПрдВ), OS рд╣реИрдВрдбрд▓ (рд╣реИрдВрдбрд▓ рддрд╛рд▓рд┐рдХрд╛ рдХреЛ рдЦреЛрдЬреЗрдВ рдФрд░ рд╕реВрдЪреАрдмрджреНрдз рдХрд░реЗрдВ, рдкрд╛рдП рдЧрдП рдХрд┐рд╕реА рднреА рдкреЙрдЗрдВрдЯрд░ рдХреЛ рдбреЗрд░рд┐рдлрд░реЗрдВрд╕ рдХрд░реЗрдВ, рдЖрджрд┐)ред рд╡реЗ рдЕрдзрд┐рдХ рдпрд╛ рдХрдо Windows API рдХреА рддрд░рд╣ рд╡реНрдпрд╡рд╣рд╛рд░ рдХрд░рддреЗ рд╣реИрдВ рдпрджрд┐ рдЕрдиреБрд░реЛрдз рдХрд┐рдпрд╛ рдЬрд╛рдП, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рд╕реВрдЪреА рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдПред

рдЗрд╕рд╕реЗ тАЬlistтАЭ рдкреНрд▓рдЧрдЗрдиреНрд╕ рдХрд╛рдлреА рддреЗрдЬрд╝ рд╣реЛ рдЬрд╛рддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдореИрд▓рд╡реЗрдпрд░ рджреНрд╡рд╛рд░рд╛ рд╣реЗрд░рдлреЗрд░ рдХреЗ рд▓рд┐рдП Windows API рдХреЗ рд╕рдорд╛рди рд╣реА рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реЛрддреЗ рд╣реИрдВред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдпрджрд┐ рдореИрд▓рд╡реЗрдпрд░ DKOM рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ _EPROCESS рд▓рд┐рдВрдХ рдХреА рдЧрдИ рд╕реВрдЪреА рд╕реЗ рдПрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рдЕрдирд▓рд┐рдВрдХ рдХрд░рддрд╛ рд╣реИ, рддреЛ рдпрд╣ рдЯрд╛рд╕реНрдХ рдореИрдиреЗрдЬрд░ рдореЗрдВ рдирд╣реАрдВ рджрд┐рдЦреЗрдЧреА рдФрд░ рди рд╣реА pslist рдореЗрдВред

рджреВрд╕рд░реА рдУрд░, тАЬscanтАЭ рдкреНрд▓рдЧрдЗрдиреНрд╕ рдПрдХ рджреГрд╖реНрдЯрд┐рдХреЛрдг рдЕрдкрдирд╛рдПрдВрдЧреЗ рдЬреЛ рдореЗрдореЛрд░реА рдХреЛ рдЙрди рдЪреАрдЬреЛрдВ рдХреЗ рд▓рд┐рдП рдХрд╛рдЯрдиреЗ рдХреЗ рд╕рдорд╛рди рд╣реЛрдЧрд╛ рдЬреЛ рд╡рд┐рд╢реЗрд╖ рд╕рдВрд░рдЪрдирд╛рдУрдВ рдХреЗ рд░реВрдк рдореЗрдВ рдбреЗрд░рд┐рдлрд░реЗрдВрд╕ рдХрд┐рдП рдЬрд╛рдиреЗ рдкрд░ рд╕рдордЭ рдореЗрдВ рдЖ рд╕рдХрддреА рд╣реИрдВред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, psscan рдореЗрдореЛрд░реА рдХреЛ рдкрдврд╝реЗрдЧрд╛ рдФрд░ рдЗрд╕рд╕реЗ _EPROCESS рдСрдмреНрдЬреЗрдХреНрдЯ рдмрдирд╛рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдЧрд╛ (рдпрд╣ рдкреВрд▓-рдЯреИрдЧ рд╕реНрдХреИрдирд┐рдВрдЧ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ, рдЬреЛ 4-рдмрд╛рдЗрдЯ рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдХреА рдЦреЛрдЬ рдХрд░ рд░рд╣рд╛ рд╣реИ рдЬреЛ рдХрд┐рд╕реА рд░реБрдЪрд┐ рдХреА рд╕рдВрд░рдЪрдирд╛ рдХреА рдЙрдкрд╕реНрдерд┐рддрд┐ рдХреЛ рдЗрдВрдЧрд┐рдд рдХрд░рддреА рд╣реИрдВ)ред рдЗрд╕рдХрд╛ рд▓рд╛рдн рдпрд╣ рд╣реИ рдХрд┐ рдпрд╣ рдЙрди рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЛ рдЦреЛрдЬ рд╕рдХрддрд╛ рд╣реИ рдЬреЛ рд╕рдорд╛рдкреНрдд рд╣реЛ рдЧрдИ рд╣реИрдВ, рдФрд░ рдпрд╣рд╛рдВ рддрдХ рдХрд┐ рдпрджрд┐ рдореИрд▓рд╡реЗрдпрд░ _EPROCESS рд▓рд┐рдВрдХ рдХреА рдЧрдИ рд╕реВрдЪреА рдХреЗ рд╕рд╛рде рдЫреЗрдбрд╝рдЫрд╛рдбрд╝ рдХрд░рддрд╛ рд╣реИ, рддреЛ рдкреНрд▓рдЧрдЗрди рдЕрднреА рднреА рдореЗрдореЛрд░реА рдореЗрдВ рд╕рдВрд░рдЪрдирд╛ рдХреЛ рдЦреЛрдЬ рд▓реЗрдЧрд╛ (рдХреНрдпреЛрдВрдХрд┐ рдЗрд╕рдХреЗ рд▓рд┐рдП рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрднреА рднреА рдореМрдЬреВрдж рд╣реЛрдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИ)ред рдиреБрдХрд╕рд╛рди рдпрд╣ рд╣реИ рдХрд┐ тАЬscanтАЭ рдкреНрд▓рдЧрдЗрдиреНрд╕ тАЬlistтАЭ рдкреНрд▓рдЧрдЗрдиреНрд╕ рдХреА рддреБрд▓рдирд╛ рдореЗрдВ рдереЛрдбрд╝реЗ рдзреАрдореЗ рд╣реЛрддреЗ рд╣реИрдВ, рдФрд░ рдХрднреА-рдХрднреА рдЧрд▓рдд рд╕рдХрд╛рд░рд╛рддреНрдордХ рдкрд░рд┐рдгрд╛рдо рджреЗ рд╕рдХрддреЗ рд╣реИрдВ (рдПрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЬреЛ рдмрд╣реБрдд рдкрд╣рд▓реЗ рд╕рдорд╛рдкреНрдд рд╣реЛ рдЧрдИ рдФрд░ рдЬрд┐рд╕рдХреА рд╕рдВрд░рдЪрдирд╛ рдХреЗ рдХреБрдЫ рд╣рд┐рд╕реНрд╕реЗ рдЕрдиреНрдп рд╕рдВрдЪрд╛рд▓рди рджреНрд╡рд╛рд░рд╛ рдУрд╡рд░рд░рд╛рдЗрдЯ рд╣реЛ рдЧрдП)ред

From: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/

OS Profiles

Volatility3

рдЬреИрд╕рд╛ рдХрд┐ README рдХреЗ рдЕрдВрджрд░ рд╕рдордЭрд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдЖрдкрдХреЛ рдЙрд╕ OS рдХрд╛ рд╕рд┐рдВрдмреЙрд▓ рдЯреЗрдмрд▓ volatility3/volatility/symbols рдХреЗ рдЕрдВрджрд░ рд░рдЦрдирд╛ рд╣реЛрдЧрд╛ рдЬрд┐рд╕реЗ рдЖрдк рд╕рдорд░реНрдерди рджреЗрдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВред рд╡рд┐рднрд┐рдиреНрди рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рдХреЗ рд▓рд┐рдП рд╕рд┐рдВрдмреЙрд▓ рдЯреЗрдмрд▓ рдкреИрдХреНрд╕ рдбрд╛рдЙрдирд▓реЛрдб рдХреЗ рд▓рд┐рдП рдЙрдкрд▓рдмреНрдз рд╣реИрдВ:

Volatility2

External Profile

рдЖрдк рд╕рдорд░реНрдерд┐рдд рдкреНрд░реЛрдлрд╛рдЗрд▓ рдХреА рд╕реВрдЪреА рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

./volatility_2.6_lin64_standalone --info | grep "Profile"

рдпрджрд┐ рдЖрдк рдПрдХ рдирдпрд╛ рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рдЬрд┐рд╕рдХрд╛ рдЖрдкрдиреЗ рдбрд╛рдЙрдирд▓реЛрдб рдХрд┐рдпрд╛ рд╣реИ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП рдПрдХ рд▓рд┐рдирдХреНрд╕ рд╡рд╛рд▓рд╛) рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ, рддреЛ рдЖрдкрдХреЛ рдХрд╣реАрдВ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдлрд╝реЛрд▓реНрдбрд░ рд╕рдВрд░рдЪрдирд╛ рдмрдирд╛рдиреА рд╣реЛрдЧреА: plugins/overlays/linux рдФрд░ рдЗрд╕ рдлрд╝реЛрд▓реНрдбрд░ рдХреЗ рдЕрдВрджрд░ рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рд╡рд╛рд▓рд╛ рдЬрд╝рд┐рдк рдлрд╝рд╛рдЗрд▓ рдбрд╛рд▓рдиреА рд╣реЛрдЧреАред рдлрд┐рд░, рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рд╕рдВрдЦреНрдпрд╛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП:

./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
Volatility Foundation Volatility Framework 2.6


Profiles
--------
LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
VistaSP0x64                                   - A Profile for Windows Vista SP0 x64
VistaSP0x86                                   - A Profile for Windows Vista SP0 x86

рдЖрдк Linux рдФрд░ Mac рдкреНрд░реЛрдлрд╛рдЗрд▓ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ https://github.com/volatilityfoundation/profiles

рдкрд┐рдЫрд▓реЗ рднрд╛рдЧ рдореЗрдВ рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдкреНрд░реЛрдлрд╛рдЗрд▓ рдХрд╛ рдирд╛рдо LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 рд╣реИ, рдФрд░ рдЖрдк рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХреБрдЫ рдЗрд╕ рддрд░рд╣ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan

рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рдЦреЛрдЬреЗрдВ

volatility imageinfo -f file.dmp
volatility kdbgscan -f file.dmp

imageinfo рдФрд░ kdbgscan рдХреЗ рдмреАрдЪ рдХреЗ рдЕрдВрддрд░

рдпрд╣рд╛рдВ рд╕реЗ: рдЬрд╣рд╛рдБ imageinfo рдХреЗрд╡рд▓ рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рд╕реБрдЭрд╛рд╡ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ, kdbgscan рд╕рд╣реА рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рдФрд░ рд╕рд╣реА KDBG рдкрддреЗ рдХреА рд╕рдХрд╛рд░рд╛рддреНрдордХ рдкрд╣рдЪрд╛рди рдХреЗ рд▓рд┐рдП рдбрд┐рдЬрд╝рд╛рдЗрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ (рдпрджрд┐ рдХрдИ рд╣реЛрдВ)ред рдпрд╣ рдкреНрд▓рдЧрдЗрди Volatility рдкреНрд░реЛрдлрд╛рдЗрд▓ рд╕реЗ рдЬреБрдбрд╝реЗ KDBGHeader рд╣рд╕реНрддрд╛рдХреНрд╖рд░реЛрдВ рдХреЗ рд▓рд┐рдП рд╕реНрдХреИрди рдХрд░рддрд╛ рд╣реИ рдФрд░ рдЭреВрдареЗ рд╕рдХрд╛рд░рд╛рддреНрдордХ рдХреЛ рдХрдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╕реИрдиреАрдЯреА рдЪреЗрдХ рд▓рд╛рдЧреВ рдХрд░рддрд╛ рд╣реИред рдЖрдЙрдЯрдкреБрдЯ рдХреА рд╡рд┐рд╕реНрддрд╛рд░рддрд╛ рдФрд░ рдХрд┐рдП рдЬрд╛ рд╕рдХрдиреЗ рд╡рд╛рд▓реЗ рд╕реИрдиреАрдЯреА рдЪреЗрдХ рдХреА рд╕рдВрдЦреНрдпрд╛ рдЗрд╕ рдкрд░ рдирд┐рд░реНрднрд░ рдХрд░рддреА рд╣реИ рдХрд┐ рдХреНрдпрд╛ Volatility рдПрдХ DTB рдвреВрдВрдв рд╕рдХрддрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдпрджрд┐ рдЖрдк рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рд╕рд╣реА рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рдЬрд╛рдирддреЗ рд╣реИрдВ (рдпрд╛ рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ imageinfo рд╕реЗ рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рд╕реБрдЭрд╛рд╡ рд╣реИ), рддреЛ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВ рдХрд┐ рдЖрдк рдЗрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВред

рд╣рдореЗрд╢рд╛ kdbgscan рджреНрд╡рд╛рд░рд╛ рдкрд╛рдП рдЧрдП рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рд╕рдВрдЦреНрдпрд╛ рдкрд░ рдирдЬрд╝рд░ рд░рдЦреЗрдВред рдХрднреА-рдХрднреА imageinfo рдФрд░ kdbgscan рдПрдХ рд╕реЗ рдЕрдзрд┐рдХ рдЙрдкрдпреБрдХреНрдд рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рдкрд╛ рд╕рдХрддреЗ рд╣реИрдВ рд▓реЗрдХрд┐рди рдХреЗрд╡рд▓ рдорд╛рдиреНрдп рдПрдХ рдореЗрдВ рдХреБрдЫ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕рдВрдмрдВрдзрд┐рдд рд╣реЛрдЧреА (рдпрд╣ рдЗрд╕рд▓рд┐рдП рд╣реИ рдХреНрдпреЛрдВрдХрд┐ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЛ рдирд┐рдХрд╛рд▓рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рд╣реА KDBG рдкрддреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ)

# GOOD
PsActiveProcessHead           : 0xfffff800011977f0 (37 processes)
PsLoadedModuleList            : 0xfffff8000119aae0 (116 modules)
# BAD
PsActiveProcessHead           : 0xfffff800011947f0 (0 processes)
PsLoadedModuleList            : 0xfffff80001197ac0 (0 modules)

KDBG

рдХрд░реНрдиреЗрд▓ рдбрд┐рдмрдЧрд░ рдмреНрд▓реЙрдХ, рдЬрд┐рд╕реЗ KDBG рдХреЗ рдирд╛рдо рд╕реЗ рдЬрд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИ, рд╡реЛрд▓рд╛рдЯрд┐рд▓рд┐рдЯреА рдФрд░ рд╡рд┐рднрд┐рдиреНрди рдбрд┐рдмрдЧрд░реНрд╕ рджреНрд╡рд╛рд░рд╛ рдХрд┐рдП рдЧрдП рдлреЛрд░реЗрдВрд╕рд┐рдХ рдХрд╛рд░реНрдпреЛрдВ рдХреЗ рд▓рд┐рдП рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИред рдЗрд╕реЗ KdDebuggerDataBlock рдХреЗ рд░реВрдк рдореЗрдВ рдкрд╣рдЪрд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдЗрд╕рдХрд╛ рдкреНрд░рдХрд╛рд░ _KDDEBUGGER_DATA64 рд╣реИ, рдЗрд╕рдореЗрдВ рдЖрд╡рд╢реНрдпрдХ рд╕рдВрджрд░реНрдн рдЬреИрд╕реЗ PsActiveProcessHead рд╢рд╛рдорд┐рд▓ рд╣реИрдВред рдпрд╣ рд╡рд┐рд╢реЗрд╖ рд╕рдВрджрд░реНрдн рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реВрдЪреА рдХреЗ рд╕рд┐рд░ рдХреА рдУрд░ рдЗрд╢рд╛рд░рд╛ рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рд╕рднреА рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рд╕реВрдЪреА рдмрдирд╛рдирд╛ рд╕рдВрднрд╡ рд╣реЛрддрд╛ рд╣реИ, рдЬреЛ рдЧрд╣рди рдореЗрдореЛрд░реА рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХреЗ рд▓рд┐рдП рдореМрд▓рд┐рдХ рд╣реИред

OS Information

#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
./vol.py -f file.dmp windows.info.Info

The plugin banners.Banners can be used in vol3 to try to find linux banners in the dump.

Hashes/Passwords

SAM рд╣реИрд╢, рдбреЛрдореЗрди рдХреИрд╢ рдХреА рдЧрдИ рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдФрд░ lsa рд░рд╣рд╕реНрдп рдирд┐рдХрд╛рд▓реЗрдВред

./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets

рдореЗрдореЛрд░реА рдбрдВрдк

рдПрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд╛ рдореЗрдореЛрд░реА рдбрдВрдк рд╡рд░реНрддрдорд╛рди рд╕реНрдерд┐рддрд┐ рдХрд╛ рд╕рдм рдХреБрдЫ рдирд┐рдХрд╛рд▓реЗрдЧрд╛ред procdump рдореЙрдбреНрдпреВрд▓ рдХреЗрд╡рд▓ рдХреЛрдб рдХреЛ рдирд┐рдХрд╛рд▓реЗрдЧрд╛ред

volatility -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/

тАЛтАЛтАЛRootedCON рд╕реНрдкреЗрди рдореЗрдВ рд╕рдмрд╕реЗ рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХ рд╕рд╛рдЗрдмрд░ рд╕реБрд░рдХреНрд╖рд╛ рдХрд╛рд░реНрдпрдХреНрд░рдо рд╣реИ рдФрд░ рдпреВрд░реЛрдк рдореЗрдВ рд╕рдмрд╕реЗ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдореЗрдВ рд╕реЗ рдПрдХ рд╣реИред рддрдХрдиреАрдХреА рдЬреНрдЮрд╛рди рдХреЛ рдмрдврд╝рд╛рд╡рд╛ рджреЗрдиреЗ рдХреЗ рдорд┐рд╢рди рдХреЗ рд╕рд╛рде, рдпрд╣ рдХрд╛рдВрдЧреНрд░реЗрд╕ рд╣рд░ рдЕрдиреБрд╢рд╛рд╕рди рдореЗрдВ рдкреНрд░реМрджреНрдпреЛрдЧрд┐рдХреА рдФрд░ рд╕рд╛рдЗрдмрд░ рд╕реБрд░рдХреНрд╖рд╛ рдкреЗрд╢реЗрд╡рд░реЛрдВ рдХреЗ рд▓рд┐рдП рдПрдХ рдЙрдмрд╛рд▓рддрд╛ рд╣реБрдЖ рдмреИрдардХ рдмрд┐рдВрджреБ рд╣реИред

рдкреНрд░рдХреНрд░рд┐рдпрд╛рдПрдБ

рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рд╕реВрдЪреА

рд╕рдВрджрд┐рдЧреНрдз рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ (рдирд╛рдо рджреНрд╡рд╛рд░рд╛) рдпрд╛ рдЕрдкреНрд░рддреНрдпрд╛рд╢рд┐рдд рдмрд╛рд▓ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, iexplorer.exe рдХрд╛ рдПрдХ рдмрд╛рд▓ cmd.exe) рдХреЛ рдЦреЛрдЬрдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдВред рдЫрд┐рдкреА рд╣реБрдИ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рдкрд╣рдЪрд╛рди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП pslist рдХреЗ рдкрд░рд┐рдгрд╛рдо рдХреА psscan рдХреЗ рд╕рд╛рде рддреБрд▓рдирд╛ рдХрд░рдирд╛ рджрд┐рд▓рдЪрд╕реНрдк рд╣реЛ рд╕рдХрддрд╛ рд╣реИред

python3 vol.py -f file.dmp windows.pstree.PsTree # Get processes tree (not hidden)
python3 vol.py -f file.dmp windows.pslist.PsList # Get process list (EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # Get hidden process list(malware)

рдбрдВрдк рдкреНрд░реЛрд╕реЗрд╕

./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory

рдХрдорд╛рдВрдб рд▓рд╛рдЗрди

рдХреНрдпрд╛ рдХреБрдЫ рд╕рдВрджрд┐рдЧреНрдз рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛?

python3 vol.py -f file.dmp windows.cmdline.CmdLine #Display process command-line arguments

cmd.exe рдореЗрдВ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрдорд╛рдВрдб conhost.exe (рдпрд╛ Windows 7 рд╕реЗ рдкрд╣рд▓реЗ рдХреЗ рд╕рд┐рд╕реНрдЯрдо рдкрд░ csrss.exe) рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдмрдВрдзрд┐рдд рд╣реЛрддреЗ рд╣реИрдВред рдЗрд╕рдХрд╛ рдорддрд▓рдм рд╣реИ рдХрд┐ рдпрджрд┐ cmd.exe рдХреЛ рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рджреНрд╡рд╛рд░рд╛ рд╕рдорд╛рдкреНрдд рдХрд░ рджрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдЗрд╕рд╕реЗ рдкрд╣рд▓реЗ рдХрд┐ рдПрдХ рдореЗрдореЛрд░реА рдбрдВрдк рдкреНрд░рд╛рдкреНрдд рдХрд┐рдпрд╛ рдЬрд╛рдП, рддреЛ рднреА conhost.exe рдХреА рдореЗрдореЛрд░реА рд╕реЗ рд╕рддреНрд░ рдХрд╛ рдХрдорд╛рдВрдб рдЗрддрд┐рд╣рд╛рд╕ рдкреБрдирд░реНрдкреНрд░рд╛рдкреНрдд рдХрд░рдирд╛ рд╕рдВрднрд╡ рд╣реИред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдпрджрд┐ рдХрдВрд╕реЛрд▓ рдХреЗ рдореЙрдбреНрдпреВрд▓ рдореЗрдВ рдЕрд╕рд╛рдорд╛рдиреНрдп рдЧрддрд┐рд╡рд┐рдзрд┐ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рд╕рдВрдмрдВрдзрд┐рдд conhost.exe рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреА рдореЗрдореЛрд░реА рдХреЛ рдбрдВрдк рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред рдлрд┐рд░, рдЗрд╕ рдбрдВрдк рдХреЗ рднреАрддрд░ strings рдХреА рдЦреЛрдЬ рдХрд░рдХреЗ, рд╕рддреНрд░ рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХреА рдЧрдИ рдХрдорд╛рдВрдб рд▓рд╛рдЗрдиреЛрдВ рдХреЛ рд╕рдВрднрд╛рд╡рд┐рдд рд░реВрдк рд╕реЗ рдирд┐рдХрд╛рд▓рд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

Environment

рдкреНрд░рддреНрдпреЗрдХ рдЪрд▓ рд░рд╣реА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ env рд╡реЗрд░рд┐рдПрдмрд▓ рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдВред рдХреБрдЫ рджрд┐рд▓рдЪрд╕реНрдк рдорд╛рди рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВред

python3 vol.py -f file.dmp windows.envars.Envars [--pid <pid>] #Display process environment variables

рдЯреЛрдХрди рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░

рдЕрдкреНрд░рддреНрдпрд╛рд╢рд┐рдд рд╕реЗрд╡рд╛рдУрдВ рдореЗрдВ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдЯреЛрдХрди рдХреЗ рд▓рд┐рдП рдЬрд╛рдВрдЪреЗрдВред рдХреБрдЫ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдЯреЛрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рд╡рд╛рд▓реА рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рд╕реВрдЪреА рдмрдирд╛рдирд╛ рджрд┐рд▓рдЪрд╕реНрдк рд╣реЛ рд╕рдХрддрд╛ рд╣реИред

#Get enabled privileges of some processes
python3 vol.py -f file.dmp windows.privileges.Privs [--pid <pid>]
#Get all processes with interesting privileges
python3 vol.py -f file.dmp windows.privileges.Privs | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

SIDs

рдкреНрд░рдХреНрд░рд┐рдпрд╛ рджреНрд╡рд╛рд░рд╛ рд╕реНрд╡рд╛рдорд┐рддреНрд╡ рд╡рд╛рд▓реЗ рдкреНрд░рддреНрдпреЗрдХ SSID рдХреА рдЬрд╛рдВрдЪ рдХрд░реЗрдВред рдпрд╣ рджрд┐рд▓рдЪрд╕реНрдк рд╣реЛ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ рдЙрди рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рд╕реВрдЪреА рдмрдирд╛рдПрдВ рдЬреЛ рдПрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ SIDs рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд░рд╣реА рд╣реИрдВ (рдФрд░ рдЙрди рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреА рдЬреЛ рдХреБрдЫ рд╕реЗрд╡рд╛ SIDs рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд░рд╣реА рд╣реИрдВ)ред

./vol.py -f file.dmp windows.getsids.GetSIDs [--pid <pid>] #Get SIDs of processes
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

рд╣реИрдВрдбрд▓

рдЬрд╛рдирдирд╛ рдЙрдкрдпреЛрдЧреА рд╣реИ рдХрд┐ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рд▓рд┐рдП рдХрд┐рд╕ рдЕрдиреНрдп рдлрд╝рд╛рдЗрд▓реЛрдВ, рдХреБрдВрдЬрд┐рдпреЛрдВ, рдереНрд░реЗрдбреНрд╕, рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ... рдХрд╛ рд╣реИрдВрдбрд▓ рд╣реИ (рдЦреБрд▓рд╛ рд╣реБрдЖ рд╣реИ)

vol.py -f file.dmp windows.handles.Handles [--pid <pid>]

DLLs

./vol.py -f file.dmp windows.dlllist.DllList [--pid <pid>] #List dlls used by each
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory process

рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕

Volatility рд╣рдореЗрдВ рдпрд╣ рдЬрд╛рдВрдЪрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдХрд┐ рдПрдХ рд╕реНрдЯреНрд░рд┐рдВрдЧ рдХрд┐рд╕ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╣реИред

strings file.dmp > /tmp/strings.txt
./vol.py -f /tmp/file.dmp windows.strings.Strings --strings-file /tmp/strings.txt

рдпрд╣ рдПрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗ рдЕрдВрджрд░ рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдХреЗ рд▓рд┐рдП yarascan рдореЙрдбреНрдпреВрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЦреЛрдЬ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рднреА рджреЗрддрд╛ рд╣реИ:

./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-rules "https://" --pid 3692 3840 3976 3312 3084 2784
./vol.py -f file.dmp yarascan.YaraScan --yara-rules "https://"

UserAssist

Windows рдЙрди рдкреНрд░реЛрдЧреНрд░рд╛рдореЛрдВ рдХрд╛ рдЯреНрд░реИрдХ рд░рдЦрддрд╛ рд╣реИ рдЬрд┐рдиреНрд╣реЗрдВ рдЖрдк рдЪрд▓рд╛рддреЗ рд╣реИрдВ, рдПрдХ рдлреАрдЪрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЬреЛ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдореЗрдВ UserAssist keys рдХрд╣рд▓рд╛рддрд╛ рд╣реИред рдпреЗ рдХреАрдЬрд╝ рд░рд┐рдХреЙрд░реНрдб рдХрд░рддреА рд╣реИрдВ рдХрд┐ рдкреНрд░рддреНрдпреЗрдХ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдХрд┐рддрдиреА рдмрд╛рд░ рдЪрд▓рд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ рдФрд░ рдЗрд╕реЗ рдЖрдЦрд┐рд░реА рдмрд╛рд░ рдХрдм рдЪрд▓рд╛рдпрд╛ рдЧрдпрд╛ рдерд╛ред

./vol.py -f file.dmp windows.registry.userassist.UserAssist

тАЛ

тАЛтАЛтАЛтАЛRootedCON рд╕реНрдкреЗрди рдореЗрдВ рд╕рдмрд╕реЗ рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХ рд╕рд╛рдЗрдмрд░рд╕реБрд░рдХреНрд╖рд╛ рдХрд╛рд░реНрдпрдХреНрд░рдо рд╣реИ рдФрд░ рдпреВрд░реЛрдк рдореЗрдВ рд╕рдмрд╕реЗ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдореЗрдВ рд╕реЗ рдПрдХ рд╣реИред рддрдХрдиреАрдХреА рдЬреНрдЮрд╛рди рдХреЛ рдмрдврд╝рд╛рд╡рд╛ рджреЗрдиреЗ рдХреЗ рдорд┐рд╢рди рдХреЗ рд╕рд╛рде, рдпрд╣ рдХрд╛рдВрдЧреНрд░реЗрд╕ рд╣рд░ рдЕрдиреБрд╢рд╛рд╕рди рдореЗрдВ рдкреНрд░реМрджреНрдпреЛрдЧрд┐рдХреА рдФрд░ рд╕рд╛рдЗрдмрд░рд╕реБрд░рдХреНрд╖рд╛ рдкреЗрд╢реЗрд╡рд░реЛрдВ рдХреЗ рд▓рд┐рдП рдПрдХ рдЙрд╖реНрдгрдХрдЯрд┐рдмрдВрдзреАрдп рдмреИрдардХ рдмрд┐рдВрджреБ рд╣реИред

рд╕реЗрд╡рд╛рдПрдБ

./vol.py -f file.dmp windows.svcscan.SvcScan #List services
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

рдиреЗрдЯрд╡рд░реНрдХ

./vol.py -f file.dmp windows.netscan.NetScan
#For network info of linux use volatility2

рд░рдЬрд┐рд╕реНрдЯреНрд░реА рд╣рд╛рдЗрд╡

рдЙрдкрд▓рдмреНрдз рд╣рд╛рдЗрд╡ рдкреНрд░рд┐рдВрдЯ рдХрд░реЗрдВ

./vol.py -f file.dmp windows.registry.hivelist.HiveList #List roots
./vol.py -f file.dmp windows.registry.printkey.PrintKey #List roots and get initial subkeys

рдПрдХ рдорд╛рди рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдВ

./vol.py -f file.dmp windows.registry.printkey.PrintKey --key "Software\Microsoft\Windows NT\CurrentVersion"

рдбрдВрдк

#Dump a hive
volatility --profile=Win7SP1x86_23418 hivedump -o 0x9aad6148 -f file.dmp #Offset extracted by hivelist
#Dump all hives
volatility --profile=Win7SP1x86_23418 hivedump -f file.dmp

рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА

рдорд╛рдЙрдВрдЯ

#See vol2

рд╕реНрдХреИрди/рдбрдВрдк

./vol.py -f file.dmp windows.filescan.FileScan #Scan for files inside the dump
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --physaddr <0xAAAAA> #Offset from previous command

рдорд╛рд╕реНрдЯрд░ рдлрд╝рд╛рдЗрд▓ рддрд╛рд▓рд┐рдХрд╛

# I couldn't find any plugin to extract this information in volatility3

NTFS рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА рдПрдХ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдШрдЯрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреА рд╣реИ рдЬрд┐рд╕реЗ рдорд╛рд╕реНрдЯрд░ рдлрд╝рд╛рдЗрд▓ рддрд╛рд▓рд┐рдХрд╛ (MFT) рдХреЗ рд░реВрдк рдореЗрдВ рдЬрд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИред рдЗрд╕ рддрд╛рд▓рд┐рдХрд╛ рдореЗрдВ рдПрдХ рд╡реЙрд▓реНрдпреВрдо рдкрд░ рд╣рд░ рдлрд╝рд╛рдЗрд▓ рдХреЗ рд▓рд┐рдП рдХрдо рд╕реЗ рдХрдо рдПрдХ рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐ рд╢рд╛рдорд┐рд▓ рд╣реЛрддреА рд╣реИ, рдЬрд┐рд╕рдореЗрдВ MFT рд╕реНрд╡рдпрдВ рднреА рд╢рд╛рдорд┐рд▓ рд╣реИред рдкреНрд░рддреНрдпреЗрдХ рдлрд╝рд╛рдЗрд▓ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╡рд┐рд╡рд░рдг, рдЬреИрд╕реЗ рдЖрдХрд╛рд░, рд╕рдордп рдореБрд╣рд░реЗрдВ, рдЕрдиреБрдорддрд┐рдпрд╛рдБ, рдФрд░ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдбреЗрдЯрд╛, MFT рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐рдпреЛрдВ рдХреЗ рднреАрддрд░ рдпрд╛ MFT рдХреЗ рдмрд╛рд╣рд░реА рдХреНрд╖реЗрддреНрд░реЛрдВ рдореЗрдВ рд╕рдВрд▓рдЧреНрди рд╣реЛрддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдЗрди рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐рдпреЛрдВ рджреНрд╡рд╛рд░рд╛ рд╕рдВрджрд░реНрднрд┐рдд рд╣реЛрддреЗ рд╣реИрдВред рдЕрдзрд┐рдХ рд╡рд┐рд╡рд░рдг рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝реАрдХрд░рдг рдореЗрдВ рдкрд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

SSL рдХреБрдВрдЬреА/рдкреНрд░рдорд╛рдгрдкрддреНрд░

#vol3 allows to search for certificates inside the registry
./vol.py -f file.dmp windows.registry.certificates.Certificates

рдореИрд▓рд╡реЗрдпрд░

./vol.py -f file.dmp windows.malfind.Malfind [--dump] #Find hidden and injected code, [dump each suspicious section]
#Malfind will search for suspicious structures related to malware
./vol.py -f file.dmp windows.driverirp.DriverIrp #Driver IRP hook detection
./vol.py -f file.dmp windows.ssdt.SSDT #Check system call address from unexpected addresses

./vol.py -f file.dmp linux.check_afinfo.Check_afinfo #Verifies the operation function pointers of network protocols
./vol.py -f file.dmp linux.check_creds.Check_creds #Checks if any processes are sharing credential structures
./vol.py -f file.dmp linux.check_idt.Check_idt #Checks if the IDT has been altered
./vol.py -f file.dmp linux.check_syscall.Check_syscall #Check system call table for hooks
./vol.py -f file.dmp linux.check_modules.Check_modules #Compares module list to sysfs info, if available
./vol.py -f file.dmp linux.tty_check.tty_check #Checks tty devices for hooks

yara рдХреЗ рд╕рд╛рде рд╕реНрдХреИрдирд┐рдВрдЧ

рдЗрд╕ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ рд╕рднреА yara рдореИрд▓рд╡реЗрдпрд░ рдирд┐рдпрдореЛрдВ рдХреЛ github рд╕реЗ рдбрд╛рдЙрдирд▓реЛрдб рдФрд░ рдорд░реНрдЬ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 rules рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдмрдирд╛рдПрдВ рдФрд░ рдЗрд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░реЗрдВред рдпрд╣ malware_rules.yar рдирд╛рдордХ рдПрдХ рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рдПрдЧрд╛ рдЬрд┐рд╕рдореЗрдВ рдореИрд▓рд╡реЗрдпрд░ рдХреЗ рд▓рд┐рдП рд╕рднреА yara рдирд┐рдпрдо рд╢рд╛рдорд┐рд▓ рд╣реИрдВред

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
#Only Windows
./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-file /tmp/malware_rules.yar
#All
./vol.py -f file.dmp yarascan.YaraScan --yara-file /tmp/malware_rules.yar

MISC

External plugins

рдпрджрд┐ рдЖрдк рдмрд╛рд╣рд░реА рдкреНрд▓рдЧрдЗрдиреНрд╕ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ, рддреЛ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВ рдХрд┐ рдкреНрд▓рдЧрдЗрдиреНрд╕ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рдлрд╝реЛрд▓реНрдбрд░ рдкрд╣рд▓реЗ рдкреИрд░рд╛рдореАрдЯрд░ рдХреЗ рд░реВрдк рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЧрдП рд╣реИрдВред

./vol.py --plugin-dirs "/tmp/plugins/" [...]

Autoruns

рдЗрд╕реЗ https://github.com/tomchop/volatility-autoruns рд╕реЗ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░реЗрдВ

volatility --plugins=volatility-autoruns/ --profile=WinXPSP2x86 -f file.dmp autoruns

Mutexes

./vol.py -f file.dmp windows.mutantscan.MutantScan

рд╕рд┐рдорд▓рд┐рдВрдХ

./vol.py -f file.dmp windows.symlinkscan.SymlinkScan