Volatility - CheatSheet
RootedCON은 스페인에서 가장 관련성 높은 사이버 보안 행사이며 유럽에서 가장 중요한 행사 중 하나입니다. 기술적인 지식을 촉진하기 위한 미션을 가지고 이 회의는 모든 분야의 기술 및 사이버 보안 전문가들에게 열정적인 만남의 장입니다.
여러 Volatility 플러그인을 병렬로 실행할 수 있는 빠르고 미친 것을 원한다면 https://github.com/carlospolop/autoVolatility을 사용할 수 있습니다.
설치
volatility3
volatility2
1. 이미지 프로파일 확인
volatility2 -f <memory_dump> imageinfo
2. 프로세스 목록 확인
volatility2 -f <memory_dump> --profile=<profile> pslist
3. 특정 프로세스의 메모리 덤프 추출
volatility2 -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
4. 파일 추출
volatility2 -f <memory_dump> --profile=<profile> filescan | grep -i <file_extension>
5. 네트워크 연결 확인
volatility2 -f <memory_dump> --profile=<profile> netscan
6. 레지스트리 정보 확인
volatility2 -f <memory_dump> --profile=<profile> hivelist
7. 레지스트리 키 추출
volatility2 -f <memory_dump> --profile=<profile> printkey -K <registry_key>
8. 사용자 정보 확인
volatility2 -f <memory_dump> --profile=<profile> hivescan
9. 사용자 패스워드 추출
volatility2 -f <memory_dump> --profile=<profile> hashdump
10. 네트워크 트래픽 분석
volatility2 -f <memory_dump> --profile=<profile> tcpdump -p <pid> -D <output_directory>
방법 2
Volatility 명령어
Volatility 명령어 참조에서 공식 문서에 접근할 수 있습니다.
"list" vs. "scan" 플러그인에 대한 참고 사항
Volatility는 플러그인에 대해 두 가지 주요 접근 방식을 가지고 있으며, 이는 때로는 플러그인 이름에 반영될 수 있습니다. "list" 플러그인은 Windows 커널 구조를 탐색하여 프로세스(메모리의 _EPROCESS
구조체의 연결 리스트를 찾고 탐색)와 같은 정보를 검색합니다. OS 핸들(핸들 테이블을 찾고 나열하고 찾은 포인터를 역참조 등)을 찾습니다. 이들은 요청된 경우 Windows API가 수행하는 것과 거의 동일하게 동작합니다. 예를 들어, 프로세스 목록을 나열하도록 요청하면 "list" 플러그인은 상당히 빠르지만, 악성 코드에 의해 조작될 수 있는 Windows API와 동일한 취약점을 가지고 있습니다. 예를 들어, 악성 코드가 DKOM을 사용하여 프로세스를 _EPROCESS
연결 리스트에서 분리하면 해당 프로세스는 작업 관리자에 표시되지 않으며 pslist에도 표시되지 않습니다.
반면에 "scan" 플러그인은 특정 구조체로 역참조될 때 의미가 있을 수 있는 것들을 메모리에서 추출하는 것과 유사한 방식으로 작동합니다. 예를 들어, psscan
은 메모리를 읽고 그것으로부터 _EPROCESS
객체를 만들려고 시도합니다(관심 있는 구조체의 존재를 나타내는 4바이트 문자열을 검색하는 pool-tag 스캐닝을 사용합니다). 이 방법의 장점은 종료된 프로세스를 찾을 수 있으며, 악성 코드가 _EPROCESS
연결 리스트를 조작하더라도 플러그인은 메모리에 여전히 구조체가 남아있을 것입니다(프로세스가 실행되기 위해서는 여전히 존재해야 하기 때문입니다). 단점은 "scan" 플러그인이 "list" 플러그인보다 약간 느리며, 때로는 잘못된 양성 결과를 반환할 수 있다는 것입니다(구조체 일부가 다른 작업에 의해 덮어쓰여 종료된 프로세스).
출처: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/
OS 프로파일
Volatility3
readme 안에 설명된 대로, 지원하려는 OS의 심볼 테이블을 _volatility3/volatility/symbols_에 넣어야 합니다. 다양한 운영 체제에 대한 심볼 테이블 팩은 다음에서 다운로드할 수 있습니다:
Volatility2
외부 프로파일
지원되는 프로파일 목록을 얻으려면 다음을 수행할 수 있습니다:
만약 새로 다운로드한 프로필 (예: 리눅스 프로필)을 사용하려면 다음 폴더 구조를 생성해야 합니다: plugins/overlays/linux. 그리고 이 폴더 안에 프로필을 포함한 zip 파일을 넣으세요. 그런 다음, 다음 명령을 사용하여 프로필의 번호를 얻으세요:
https://github.com/volatilityfoundation/profiles에서 Linux 및 Mac 프로파일을 다운로드할 수 있습니다.
이전 청크에서 볼 수 있듯이 프로파일은 LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64
라고 불리며, 다음과 같이 사용할 수 있습니다:
프로필 탐색
메모리 덤프 파일의 정보를 확인합니다.
커널 디버깅 세션 ID를 스캔하여 찾습니다.
프로세스 목록을 표시합니다.
프로세스 목록을 스캔하여 찾습니다.
프로세스 트리를 표시합니다.
특정 프로세스의 DLL 목록을 표시합니다.
특정 프로세스의 핸들 목록을 표시합니다.
특정 프로세스의 명령줄 인수를 표시합니다.
파일 목록을 스캔하여 찾습니다.
악성 코드를 찾습니다.
악성 코드를 찾고, 결과를 지정한 디렉토리에 저장합니다.
특정 프로세스에서 악성 코드를 찾습니다.
특정 프로세스에서 악성 코드를 찾고, 결과를 지정한 디렉토리에 저장합니다.
특정 프로세스의 가상 주소 공간 정보를 표시합니다.
특정 프로세스의 가상 주소 공간 트리를 표시합니다.
특정 프로세스의 가상 주소 공간을 탐색합니다.
모든 프로세스의 가상 주소 공간 트리를 표시합니다.
모든 프로세스의 가상 주소 공간을 탐색합니다.
레지스트리 키 목록을 표시합니다.
특정 레지스트리 키를 덤프하고, 결과를 지정한 디렉토리에 저장합니다.
특정 레지스트리 키의 오프셋을 확인합니다.
특정 레지스트리 키의 내용을 표시합니다.
특정 레지스트리 키의 내용을 표시합니다.
특정 레지스트리 키의 내용을 표시합니다.
특정 레지스트리 키의 내용을 표시하고, 결과를 지정한 디렉토리에 저장합니다.
volatility imageinfo -f file.dmp volatility kdbgscan -f file.dmp
KDBG
커널 디버거 블록은 Volatility와 다양한 디버거에 의해 수행되는 포렌식 작업에 있어서 중요합니다. Volatility에서는 KDBG라고 불리며, _KDDEBUGGER_DATA64
타입의 KdDebuggerDataBlock
으로 식별됩니다. 이 블록에는 PsActiveProcessHead
와 같은 필수적인 참조 정보가 포함되어 있습니다. 이 특정 참조는 프로세스 목록의 헤드를 가리키며, 모든 프로세스의 목록을 나열하는 데 필수적입니다. 이는 철저한 메모리 분석을 위해 근본적인 역할을 합니다.
운영 체제 정보
플러그인 banners.Banners
는 덤프에서 리눅스 배너를 찾기 위해 vol3에서 사용할 수 있습니다.
해시/비밀번호
SAM 해시, 도메인 캐시된 자격 증명 및 lsa 비밀을 추출합니다.
Volatility 명령어 요약
Volatility 기본 명령어
imageinfo: 이미지 정보를 표시합니다.
kdbgscan: 디버깅 세션을 찾습니다.
kpcrscan: KPCR을 찾습니다.
pslist: 프로세스 목록을 표시합니다.
pstree: 프로세스 트리를 표시합니다.
psscan: 프로세스 스냅샷을 표시합니다.
dlllist: DLL 목록을 표시합니다.
handles: 핸들 목록을 표시합니다.
cmdline: 명령줄 인수를 표시합니다.
filescan: 파일 스캔을 수행합니다.
malfind: 악성 코드 주소를 찾습니다.
vadinfo: 가상 주소 공간 정보를 표시합니다.
vadtree: 가상 주소 공간 트리를 표시합니다.
vaddump: 가상 주소 공간 덤프를 수행합니다.
memdump: 메모리 덤프를 수행합니다.
moddump: 모듈 덤프를 수행합니다.
modscan: 모듈 스캔을 수행합니다.
ssdt: SSDT 정보를 표시합니다.
gdt: GDT 정보를 표시합니다.
idt: IDT 정보를 표시합니다.
ldrmodules: LDR 모듈 정보를 표시합니다.
apihooks: API 후킹 정보를 표시합니다.
svcscan: 서비스 스캔을 수행합니다.
ssdt: SSDT 정보를 표시합니다.
gdt: GDT 정보를 표시합니다.
idt: IDT 정보를 표시합니다.
ldrmodules: LDR 모듈 정보를 표시합니다.
apihooks: API 후킹 정보를 표시합니다.
svcscan: 서비스 스캔을 수행합니다.
driverirp: 드라이버 IRP 정보를 표시합니다.
drivermodule: 드라이버 모듈 정보를 표시합니다.
driverobject: 드라이버 객체 정보를 표시합니다.
driversection: 드라이버 섹션 정보를 표시합니다.
driverwmi: 드라이버 WMI 정보를 표시합니다.
driverregistry: 드라이버 레지스트리 정보를 표시합니다.
driverhandles: 드라이버 핸들 정보를 표시합니다.
driverirp: 드라이버 IRP 정보를 표시합니다.
drivermodule: 드라이버 모듈 정보를 표시합니다.
driverobject: 드라이버 객체 정보를 표시합니다.
driversection: 드라이버 섹션 정보를 표시합니다.
driverwmi: 드라이버 WMI 정보를 표시합니다.
driverregistry: 드라이버 레지스트리 정보를 표시합니다.
driverhandles: 드라이버 핸들 정보를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree: 장치 트리를 표시합니다.
devicetree:
메모리 덤프
프로세스의 메모리 덤프는 프로세스의 현재 상태를 모두 추출합니다. procdump 모듈은 코드만을 추출합니다.
RootedCON은 스페인에서 가장 관련성 있는 사이버 보안 행사이며 유럽에서 가장 중요한 행사 중 하나입니다. 기술적인 지식을 촉진하는 미션을 가지고 있는 이 회의는 모든 분야의 기술 및 사이버 보안 전문가들에게 열정적인 만남의 장입니다.
프로세스
프로세스 목록
의심스러운 프로세스(이름으로) 또는 예상치 못한 자식 프로세스(예: iexplorer.exe의 자식으로 cmd.exe)를 찾아보십시오. pslist의 결과와 psscan의 결과를 비교하여 숨겨진 프로세스를 식별하는 것이 흥미로울 수 있습니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the latest version of Volatility from the official GitHub repository:
Change to the Volatility directory:
Run Volatility using the following command:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Set the profile using the
-p
option:Run the desired Volatility command. For example, to list all running processes, use the
pslist
command:
Common Commands
imageinfo
: Retrieves information about the memory dump, such as the profile, architecture, and build time.pslist
: Lists all running processes.pstree
: Displays the process tree, showing parent-child relationships between processes.psscan
: Scans for processes in memory.dlllist
: Lists loaded DLLs for each process.handles
: Lists open handles for each process.connections
: Lists network connections.netscan
: Scans for network connections in memory.malfind
: Finds hidden or injected code in memory.cmdscan
: Scans for command history in memory.filescan
: Scans for file objects in memory.dumpfiles
: Extracts files from memory.hivelist
: Lists registry hives.hivedump
: Dumps a registry hive.hashdump
: Dumps password hashes from memory.
Additional Resources
덤프 프로세스
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the Volatility source code from the official GitHub repository:
Navigate to the Volatility directory and run the following command to verify the installation:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Once you have identified the profile, use the appropriate plugin to extract the desired information. For example, to list all running processes, use the
pslist
plugin:Use the available options to filter and format the output as needed. For example, to display only the process names and PIDs, use the
--output=csv
and--columns=Name,PID
options:
Advanced Usage
Volatility provides a wide range of plugins for analyzing different aspects of memory dumps. Some of the commonly used plugins include:
pslist
: Lists all running processes.netscan
: Displays network connections.malfind
: Identifies injected and hidden code.dlllist
: Lists loaded DLLs.filescan
: Scans for file handles and file objects.cmdscan
: Lists command history.hivelist
: Lists registry hives.
To use these plugins, specify the desired plugin name after the --profile
option. For example, to list all loaded DLLs, use the dlllist
plugin:
Conclusion
Volatility is a powerful tool for analyzing memory dumps and extracting valuable information for forensic investigations. This cheat sheet provides a quick reference guide for using Volatility and highlights some of the most commonly used commands and plugins. Experiment with different options and plugins to maximize the effectiveness of your memory analysis.
명령 줄
의심스러운 것이 실행되었나요?
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Basic Usage
To analyze a memory dump using Volatility, use the following command:
Replace <memory_dump>
with the path to the memory dump file and <command>
with the desired Volatility command.
Volatility Commands
Image Identification
imageinfo: Displays information about the memory dump, such as the operating system version and profile.
Process Analysis
pslist: Lists all running processes in the memory dump.
psscan: Scans for hidden or terminated processes.
Network Analysis
netscan: Lists all network connections in the memory dump.
connscan: Lists all TCP and UDP connections.
Module Analysis
modscan: Lists all loaded modules in the memory dump.
moddump: Dumps a specific module from memory.
Replace <output_directory>
with the desired directory to save the module dump and <module_name>
with the name of the module to dump.
Conclusion
This cheat sheet provides a basic overview of Volatility and its commonly used commands. By leveraging Volatility's capabilities, analysts can perform in-depth memory analysis and extract valuable information from memory dumps.
cmd.exe
에서 실행된 명령은 conhost.exe
(또는 Windows 7 이전의 시스템에서는 csrss.exe
)에 의해 관리됩니다. 이는 메모리 덤프를 얻기 전에 공격자에 의해 **cmd.exe
**가 종료된 경우에도 세션의 명령 히스토리를 **conhost.exe
**의 메모리에서 복구할 수 있다는 것을 의미합니다. 이를 위해 콘솔 모듈에서 이상한 활동이 감지되면 연관된 conhost.exe
프로세스의 메모리를 덤프해야 합니다. 그런 다음 이 덤프 내에서 문자열을 검색하여 세션에서 사용된 명령 라인을 추출할 수 있습니다.
환경
각 실행 중인 프로세스의 환경 변수를 가져옵니다. 흥미로운 값이 있을 수 있습니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Basic Usage
To analyze a memory dump using Volatility, use the following command:
Replace <memory_dump>
with the path to the memory dump file and <command>
with the desired Volatility command.
Volatility Commands
Image Identification
imageinfo: Retrieve information about the memory dump, such as the operating system version and profile.
Process Analysis
pslist: List all running processes.
psscan: Scan for hidden or terminated processes.
Network Analysis
netscan: List network connections.
connscan: List TCP and UDP connections.
Module Analysis
modscan: List loaded modules.
moddump: Dump a specific module from memory.
Replace <output_directory>
with the desired directory to save the module dump and <module_name>
with the name of the module to dump.
Conclusion
This cheat sheet provides a brief overview of some of the most commonly used Volatility commands for memory dump analysis. Volatility is a powerful tool for forensic analysis and can help uncover valuable information from memory dumps. Experiment with different commands and options to maximize the effectiveness of your memory analysis.
토큰 권한
예상치 못한 서비스에서 권한 토큰을 확인하세요. 특권 토큰을 사용하는 프로세스 목록을 작성하는 것이 흥미로울 수 있습니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the latest version of Volatility from the official GitHub repository:
Change to the Volatility directory:
Run Volatility using the following command:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Set the profile using the
-p
option:Run the desired Volatility command. For example, to list all running processes, use the
pslist
command:
Common Commands
imageinfo
: Retrieves information about the memory dump, such as the profile, architecture, and build time.pslist
: Lists all running processes.pstree
: Displays the process tree, showing parent-child relationships between processes.psscan
: Scans for processes in memory.dlllist
: Lists loaded DLLs for each process.handles
: Lists open handles for each process.connections
: Lists network connections.netscan
: Scans for network connections in memory.malfind
: Finds hidden or injected code in memory.cmdscan
: Scans for command history in memory.filescan
: Scans for file objects in memory.dumpfiles
: Extracts files from memory.hivelist
: Lists registry hives.hivedump
: Dumps a registry hive.hashdump
: Dumps password hashes from memory.
Additional Resources
SIDs
각 프로세스가 소유한 SSID를 확인합니다. 특권 SSID를 사용하는 프로세스 및 일부 서비스 SSID를 사용하는 프로세스를 나열하는 것이 흥미로울 수 있습니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the Volatility source code from the official GitHub repository:
Navigate to the Volatility directory and run the following command to verify the installation:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Once you have identified the profile, use the appropriate plugin to extract the desired information. For example, to list all running processes, use the
pslist
plugin:Use the available options to filter and format the output as needed. For example, to display only the process names and PIDs, use the
--output=text
and--columns=Name,PID
options:
Advanced Usage
Volatility provides a wide range of plugins for analyzing different aspects of memory dumps. Some of the commonly used plugins include:
pslist
: Lists running processes.netscan
: Lists network connections.malfind
: Finds hidden and injected code.dlllist
: Lists loaded DLLs.cmdscan
: Lists command history.filescan
: Lists open files.svcscan
: Lists services.handles
: Lists open handles.
To use these plugins, specify the appropriate plugin name after the --profile
option. For example, to list network connections, use the netscan
plugin:
Conclusion
Volatility is a powerful tool for analyzing memory dumps and extracting valuable information for forensic investigations. This cheat sheet provides a quick reference guide for using Volatility and highlights some of the most commonly used commands and plugins. Experiment with different options and plugins to maximize the effectiveness of your memory analysis.
핸들
프로세스가 핸들을 가지고 있는 다른 파일, 키, 스레드, 프로세스 등을 알아내는 데 유용합니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Basic Usage
To analyze a memory dump using Volatility, use the following command:
Replace <memory_dump>
with the path to the memory dump file and <command>
with the desired Volatility command.
Volatility Commands
Image Identification
imageinfo: Retrieve information about the memory dump, such as the operating system version and profile.
Process Analysis
pslist: List all running processes.
psscan: Scan for hidden or terminated processes.
Network Analysis
netscan: List network connections.
connscan: List TCP and UDP connections.
Module Analysis
modscan: List loaded modules.
moddump: Dump a specific module from memory.
Replace <output_directory>
with the desired directory to save the module dump and <module_name>
with the name of the module to dump.
Conclusion
This cheat sheet provides a basic overview of some of the most commonly used Volatility commands for memory dump analysis. Volatility is a powerful tool for forensic analysis and can help uncover valuable information from memory dumps. Experiment with different commands and options to maximize the effectiveness of your memory analysis.
DLLs
DLLs (Dynamic Link Libraries) are shared libraries that contain code and data that can be used by multiple programs at the same time. They are loaded into the memory space of a process when it is executed and provide additional functionality to the program.
Volatility provides several commands to analyze DLLs in memory dumps:
dlllist
: Lists all loaded DLLs in the memory dump.dlldump
: Dumps the contents of a specific DLL from memory.dllscan
: Scans the memory dump for DLLs and displays information about them.dllhooks
: Lists all hooked DLLs in the memory dump.
These commands can be useful for identifying malicious DLLs that may have been injected into a process or for analyzing the functionality of a specific DLL.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the latest version of Volatility from the official GitHub repository:
Change to the Volatility directory:
Run Volatility using the following command:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Set the profile using the
-p
option:Run the desired Volatility command. For example, to list all running processes, use the
pslist
command:
Common Commands
imageinfo
: Retrieves information about the memory dump, such as the profile, architecture, and build time.pslist
: Lists all running processes.pstree
: Displays the process tree, showing parent-child relationships between processes.psscan
: Scans for processes in memory.dlllist
: Lists loaded DLLs for each process.handles
: Lists open handles for each process.connections
: Lists network connections.netscan
: Scans for network connections in memory.malfind
: Finds hidden or injected code in memory.cmdscan
: Scans for command history in memory.filescan
: Scans for file objects in memory.dumpfiles
: Extracts files from memory.hivelist
: Lists registry hives.hivedump
: Dumps a registry hive.hashdump
: Dumps password hashes from memory.
Additional Resources
프로세스별 문자열
Volatility를 사용하면 문자열이 어떤 프로세스에 속하는지 확인할 수 있습니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the latest version of Volatility from the official GitHub repository:
Change to the Volatility directory:
Run Volatility using the following command:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Set the profile using the
-p
option:Run the desired Volatility command. For example, to list all running processes, use the
pslist
command:
Common Commands
imageinfo
: Retrieves information about the memory dump, such as the profile, architecture, and build time.pslist
: Lists all running processes.pstree
: Displays the process tree, showing parent-child relationships between processes.psscan
: Scans for processes in memory.dlllist
: Lists loaded DLLs for each process.handles
: Lists open handles for each process.connections
: Lists network connections.netscan
: Scans for network connections in memory.malfind
: Finds hidden or injected code in memory.cmdscan
: Scans for command history in memory.filescan
: Scans for file objects in memory.dumpfiles
: Extracts files from memory.hivelist
: Lists registry hives.hivedump
: Dumps a registry hive.hashdump
: Dumps password hashes from memory.
Additional Resources
이는 yarascan 모듈을 사용하여 프로세스 내에서 문자열을 검색할 수도 있습니다:
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. The cheat sheet includes commonly used commands and their descriptions, making it a handy resource for memory dump analysis.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or Python 3.x.
Install the required Python packages by running
pip install -r requirements.txt
.Download the latest release of Volatility from the official GitHub repository.
Extract the downloaded archive.
Navigate to the extracted directory and run
python vol.py
to start Volatility.
Basic Commands
imageinfo
: Displays information about the memory dump, such as the operating system version and architecture.pslist
: Lists all running processes in the memory dump.pstree
: Displays a tree-like representation of the processes in the memory dump.psscan
: Scans the memory dump for hidden or unlinked processes.dlllist
: Lists all loaded DLLs in the memory dump.handles
: Lists all open handles in the memory dump.filescan
: Scans the memory dump for file objects.netscan
: Lists all network connections in the memory dump.connections
: Displays detailed information about a specific network connection.cmdline
: Displays the command line arguments of a specific process.malfind
: Scans the memory dump for potential malware artifacts.dump
: Dumps a specific process from the memory dump.
Advanced Commands
mftparser
: Parses the Master File Table (MFT) for file system artifacts.hivelist
: Lists all registry hives in the memory dump.printkey
: Displays the contents of a specific registry key.dumpregistry
: Dumps a specific registry hive from the memory dump.modscan
: Scans the memory dump for kernel modules.ssdt
: Displays the System Service Descriptor Table (SSDT) in the memory dump.driverirp
: Displays the IRP (I/O Request Packet) hooks in the memory dump.vadinfo
: Displays information about the Virtual Address Descriptor (VAD) tree in the memory dump.vaddump
: Dumps a specific memory region from the memory dump.
Plugin Usage
Volatility also supports plugins, which provide additional functionality. To use a plugin, run python vol.py --plugin=<plugin_name>
. Some commonly used plugins include:
malfind
: Scans the memory dump for potential malware artifacts.timeliner
: Creates a timeline of events based on various artifacts in the memory dump.psxview
: Displays detailed information about processes, including hidden and unlinked processes.svcscan
: Lists all Windows services in the memory dump.apihooks
: Displays information about API hooks in the memory dump.
Conclusion
This cheat sheet covers the basic usage of Volatility for memory dump analysis. By leveraging the power of Volatility and its plugins, analysts can uncover valuable information from memory dumps, aiding in incident response, malware analysis, and forensic investigations.
UserAssist
Windows는 UserAssist 키라는 레지스트리 기능을 사용하여 실행한 프로그램을 추적합니다. 이러한 키는 각 프로그램이 실행된 횟수와 마지막 실행 시간을 기록합니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the Volatility source code from the official GitHub repository:
Navigate to the Volatility directory and run the following command to verify the installation:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Once you have identified the profile, use the appropriate plugin to extract the desired information. For example, to list all running processes, use the
pslist
plugin:Use the available options to filter and format the output as needed. For example, to display only the process names and PIDs, use the
--output=csv
and--columns=Name,PID
options:
Advanced Usage
Volatility provides a wide range of plugins for analyzing different aspects of memory dumps. Some of the commonly used plugins include:
pslist
: Lists all running processes.netscan
: Displays network connections.malfind
: Identifies injected and hidden code.dlllist
: Lists loaded DLLs.filescan
: Scans for file handles and file objects.cmdscan
: Lists command history.hivelist
: Lists registry hives.
To use these plugins, specify the desired plugin name after the --profile
option. For example, to list all loaded DLLs, use the dlllist
plugin:
Conclusion
Volatility is a powerful tool for analyzing memory dumps and extracting valuable information for forensic investigations. This cheat sheet provides a quick reference guide for using Volatility and highlights some of the most commonly used commands and plugins. Experiment with different options and plugins to maximize the effectiveness of your memory analysis.
RootedCON은 스페인에서 가장 관련성 있는 사이버 보안 행사이며 유럽에서 가장 중요한 행사 중 하나입니다. 기술적인 지식을 촉진하는 미션을 가지고 있는 이 회의는 모든 분야의 기술 및 사이버 보안 전문가들에게 열정적인 만남의 장입니다.
서비스
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. The cheat sheet includes commonly used commands and their descriptions, making it a handy resource for memory dump analysis.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or Python 3.x.
Install the required Python packages by running
pip install -r requirements.txt
.Download the latest release of Volatility from the official GitHub repository.
Extract the downloaded archive.
Navigate to the extracted directory and run
python vol.py
.
Basic Commands
imageinfo
: Displays information about the memory dump, such as the operating system version and architecture.pslist
: Lists all running processes in the memory dump.pstree
: Displays the process tree, showing parent-child relationships between processes.psscan
: Scans the memory dump for hidden or terminated processes.dlllist
: Lists all loaded DLLs in the memory dump.handles
: Lists all open handles in the memory dump.filescan
: Scans the memory dump for file objects.netscan
: Lists all network connections in the memory dump.connections
: Displays detailed information about a specific network connection.cmdline
: Displays the command line arguments of a specific process.malfind
: Scans the memory dump for potential malware artifacts.dumpfiles
: Extracts files from the memory dump.
Advanced Commands
malfind
: Scans the memory dump for potential malware artifacts.yarascan
: Scans the memory dump using YARA rules.vadinfo
: Displays information about the Virtual Address Descriptor (VAD) tree.vaddump
: Dumps the memory range associated with a specific VAD node.vadtree
: Displays the VAD tree, showing the memory ranges allocated to processes.vadwalk
: Walks the VAD tree, displaying the memory ranges allocated to a specific process.modscan
: Scans the memory dump for loaded modules.moddump
: Dumps the memory range associated with a specific module.modscan
: Scans the memory dump for loaded modules.moddump
: Dumps the memory range associated with a specific module.
Plugin Usage
Volatility also provides a wide range of plugins that extend its functionality. To use a plugin, run python vol.py -f <memory_dump> --profile=<profile> <plugin_name>
. Some commonly used plugins include:
malfind
: Scans the memory dump for potential malware artifacts.timeliner
: Extracts timeline information from the memory dump.dumpregistry
: Dumps the Windows registry from the memory dump.hivelist
: Lists the registry hives in the memory dump.hashdump
: Dumps the password hashes from the memory dump.svcscan
: Scans the memory dump for Windows services.getsids
: Lists the Security Identifiers (SIDs) in the memory dump.
Conclusion
This cheat sheet provides a concise overview of Volatility commands and plugins for memory dump analysis. By leveraging the power of Volatility, analysts can uncover valuable information from memory dumps, aiding in incident response, malware analysis, and forensic investigations.
네트워크
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Basic Usage
To analyze a memory dump using Volatility, use the following command:
Replace <memory_dump>
with the path to the memory dump file and <command>
with the desired Volatility command.
Commonly Used Commands
imageinfo
The imageinfo
command displays information about the memory dump, such as the operating system version, architecture, and profile. Use the following command to run imageinfo
:
pslist
The pslist
command lists all running processes in the memory dump. Use the following command to run pslist
:
psscan
The psscan
command scans the memory dump for hidden or terminated processes. Use the following command to run psscan
:
netscan
The netscan
command displays network connections found in the memory dump. Use the following command to run netscan
:
malfind
The malfind
command searches for injected or malicious code in memory. Use the following command to run malfind
:
Conclusion
This cheat sheet provides a brief overview of some commonly used Volatility commands for memory dump analysis. Volatility is a powerful tool for forensic analysis and can help uncover valuable information from memory dumps. Experiment with different commands and options to maximize the effectiveness of your memory analysis.
레지스트리 하이브
사용 가능한 하이브 출력
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Basic Usage
To analyze a memory dump using Volatility, use the following command:
Replace <memory_dump>
with the path to the memory dump file and <command>
with the desired Volatility command.
Volatility Commands
Image Identification
imageinfo: Retrieve information about the memory dump, such as the operating system version and profile.
Process Analysis
pslist: List all running processes.
psscan: Scan for hidden or terminated processes.
Network Analysis
netscan: List network connections.
connscan: List TCP and UDP connections.
Module Analysis
modscan: List loaded modules.
moddump: Dump a specific module from memory.
Replace <output_directory>
with the desired directory to save the module dump and <module_name>
with the name of the module to dump.
Conclusion
This cheat sheet provides a quick overview of some of the most commonly used Volatility commands for memory dump analysis. Volatility is a powerful tool for forensic analysis and can help uncover valuable information from memory dumps. Experiment with different commands and options to maximize the effectiveness of your memory analysis.
값을 가져오기
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the latest version of Volatility from the official GitHub repository:
Change to the Volatility directory:
Run Volatility using the following command:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Set the profile using the
-p
option:Run the desired Volatility command. For example, to list all running processes, use the
pslist
command:
Common Commands
pslist
: Lists all running processes.pstree
: Displays a process tree.psscan
: Scans for processes.dlllist
: Lists loaded DLLs.handles
: Lists open handles.connections
: Lists network connections.netscan
: Scans for network connections.modscan
: Scans for loaded modules.malfind
: Finds hidden or injected code.cmdscan
: Scans for command history.filescan
: Scans for files.dumpfiles
: Dumps files from memory.hivelist
: Lists registry hives.printkey
: Prints registry keys and values.hashdump
: Dumps password hashes.mbrparser
: Parses the Master Boot Record (MBR).ssdt
: Displays the System Service Descriptor Table (SSDT).driverirp
: Lists drivers and their IRP hooks.idt
: Displays the Interrupt Descriptor Table (IDT).gdt
: Displays the Global Descriptor Table (GDT).ldrmodules
: Lists loaded modules.apihooks
: Lists API hooks.vadinfo
: Displays Virtual Address Descriptor (VAD) information.vaddump
: Dumps memory regions.memdump
: Dumps the entire memory.
Conclusion
This cheat sheet provides a starting point for using Volatility to analyze memory dumps. Remember to always use Volatility in a controlled environment and with proper authorization.
A memory dump is a snapshot of the computer's memory at a specific point in time. It contains information about the running processes, open files, network connections, and other system data. Analyzing memory dumps can provide valuable insights into the state of a system during a security incident or forensic investigation.
To analyze a memory dump, you can use the Volatility framework. Volatility is an open-source tool that allows you to extract and analyze information from memory dumps. It supports a wide range of operating systems and can be used to investigate various types of memory-related artifacts.
Here are some basic steps to follow when analyzing a memory dump using Volatility:
Identify the profile: The profile specifies the operating system and service pack version of the memory dump. You need to determine the correct profile to ensure accurate analysis.
Extract the necessary information: Use Volatility commands to extract the information you need from the memory dump. This can include process lists, network connections, registry keys, and more.
Analyze the extracted data: Once you have extracted the relevant information, analyze it to identify any suspicious or malicious activity. Look for signs of malware, unauthorized access, or other indicators of compromise.
Cross-reference with other data sources: To get a complete picture of the incident, cross-reference the data from the memory dump with other sources such as log files, network traffic captures, and system event logs.
Document your findings: Record your findings in a clear and organized manner. Include details about the analyzed artifacts, any identified threats, and any actions taken to mitigate the incident.
By following these steps and using the Volatility framework, you can effectively analyze memory dumps and uncover valuable information for forensic investigations and incident response.
덤프
메모리 덤프는 특정 시점에서 컴퓨터의 메모리 스냅샷입니다. 실행 중인 프로세스, 열린 파일, 네트워크 연결 및 기타 시스템 데이터에 대한 정보를 포함합니다. 메모리 덤프를 분석하면 보안 사고나 포렌식 조사 중 시스템의 상태에 대한 유용한 통찰력을 제공할 수 있습니다.
메모리 덤프를 분석하기 위해 Volatility 프레임워크를 사용할 수 있습니다. Volatility는 메모리 덤프에서 정보를 추출하고 분석할 수 있는 오픈 소스 도구입니다. 다양한 운영 체제를 지원하며 메모리 관련 아티팩트를 조사하는 데 사용할 수 있습니다.
다음은 Volatility를 사용하여 메모리 덤프를 분석할 때 따라야 할 몇 가지 기본 단계입니다:
프로파일 식별: 프로파일은 메모리 덤프의 운영 체제 및 서비스 팩 버전을 지정합니다. 정확한 분석을 위해 올바른 프로파일을 결정해야 합니다.
필요한 정보 추출: Volatility 명령을 사용하여 메모리 덤프에서 필요한 정보를 추출합니다. 이는 프로세스 목록, 네트워크 연결, 레지스트리 키 등을 포함할 수 있습니다.
추출된 데이터 분석: 관련 정보를 추출한 후, 의심스러운 또는 악성 활동을 식별하기 위해 분석합니다. 악성 코드, 무단 액세스 또는 침해 표시를 찾아보세요.
다른 데이터 소스와 교차 참조: 사건의 전체적인 상황을 파악하기 위해 메모리 덤프의 데이터를 로그 파일, 네트워크 트래픽 캡처, 시스템 이벤트 로그 등 다른 소스와 교차 참조합니다.
결과 문서화: 분석 결과를 명확하고 체계적으로 기록합니다. 분석된 아티팩트, 식별된 위협 및 사건 대응을 위해 수행한 조치에 대한 세부 정보를 포함하세요.
이러한 단계를 따르고 Volatility 프레임워크를 사용하면 포렌식 조사 및 사건 대응을 위해 메모리 덤프를 효과적으로 분석하고 가치 있는 정보를 발견할 수 있습니다.
파일 시스템
마운트
마스터 파일 테이블
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Basic Usage
To analyze a memory dump using Volatility, use the following command:
Replace <memory_dump>
with the path to the memory dump file and <command>
with the desired Volatility command.
Volatility Commands
Image Identification
imageinfo: Displays information about the memory dump, such as the operating system version and profile.
Process Analysis
pslist: Lists all running processes in the memory dump.
psscan: Scans for hidden or terminated processes.
Network Analysis
netscan: Lists all network connections in the memory dump.
connscan: Lists all TCP and UDP connections.
Module Analysis
modscan: Lists all loaded modules in the memory dump.
moddump: Dumps a specific module from memory.
Replace <output_directory>
with the desired directory to save the module dump and <module_name>
with the name of the module to dump.
Conclusion
This cheat sheet provides a basic overview of Volatility and its commonly used commands. By leveraging Volatility's capabilities, analysts can perform in-depth memory analysis and extract valuable information from memory dumps.
NTFS 파일 시스템은 마스터 파일 테이블 (MFT)이라고 하는 중요한 구성 요소를 사용합니다. 이 테이블은 볼륨의 모든 파일에 대해 적어도 하나의 항목을 포함하며, MFT 자체도 포함됩니다. 각 파일에 대한 중요한 세부 정보인 크기, 타임스탬프, 권한 및 실제 데이터는 MFT 항목 내에 또는 이러한 항목에 의해 참조되는 MFT 외부 영역에 캡슐화됩니다. 자세한 내용은 공식 문서에서 확인할 수 있습니다.
SSL 키/인증서
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the latest version of Volatility from the official GitHub repository:
Change to the Volatility directory:
Run Volatility using the following command:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Set the profile using the
-p
option:Run the desired Volatility command. For example, to list all running processes, use the
pslist
command:
Common Commands
imageinfo
: Retrieves information about the memory dump, such as the profile, architecture, and build time.pslist
: Lists all running processes.pstree
: Displays the process tree, showing parent-child relationships between processes.psscan
: Scans for processes in memory.dlllist
: Lists loaded DLLs for each process.handles
: Lists open handles for each process.connections
: Lists network connections.netscan
: Scans for network connections in memory.malfind
: Finds hidden or injected code in memory.cmdscan
: Scans for command history in memory.filescan
: Scans for file objects in memory.dumpfiles
: Extracts files from memory.hivelist
: Lists registry hives.hivedump
: Dumps a registry hive.hashdump
: Dumps password hashes from memory.
Additional Resources
악성 소프트웨어
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the Volatility source code from the official GitHub repository:
Navigate to the Volatility directory and run the following command to verify the installation:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Once you have identified the profile, use the appropriate plugin to extract the desired information. For example, to list all running processes, use the
pslist
plugin:Use the available options to filter and format the output as needed. For example, to display only the process names and PIDs, use the
--output=csv
and--columns=Name,PID
options:
Advanced Usage
Volatility provides a wide range of plugins for analyzing different aspects of memory dumps. Some of the commonly used plugins include:
pslist
: Lists all running processes.netscan
: Displays network connections.malfind
: Identifies injected and hidden code.dlllist
: Lists loaded DLLs.filescan
: Scans for file handles and file objects.cmdscan
: Lists command history.hivelist
: Lists registry hives.
To use these plugins, specify the plugin name after the --profile
option. For example, to list all loaded DLLs, use the dlllist
plugin:
Conclusion
Volatility is a powerful tool for analyzing memory dumps and extracting valuable information for forensic investigations. This cheat sheet provides a quick reference guide for using Volatility and highlights some of the most commonly used commands and plugins. Experiment with different options and plugins to maximize the effectiveness of your memory analysis.
yara로 스캔하기
다음 스크립트를 사용하여 github에서 모든 yara 악성코드 규칙을 다운로드하고 병합하세요: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 rules 디렉토리를 생성하고 실행하세요. 이렇게 하면 _malware_rules.yar_라는 파일이 생성되며, 이 파일에는 모든 악성코드에 대한 yara 규칙이 포함됩니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the Volatility source code from the official GitHub repository:
Navigate to the Volatility directory and run the following command to verify the installation:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Once you have identified the profile, use the appropriate plugin to extract the desired information. For example, to list all running processes, use the
pslist
plugin:Use the available options to filter and format the output as needed. For example, to display only the process names and PIDs, use the
--output=csv
and--columns=Name,PID
options:
Advanced Usage
Volatility provides a wide range of plugins for analyzing different aspects of memory dumps. Some of the commonly used plugins include:
pslist
: Lists all running processes.netscan
: Displays network connections.malfind
: Identifies injected and hidden code.dlllist
: Lists loaded DLLs.filescan
: Scans for file handles and file objects.cmdscan
: Lists command history.hivelist
: Lists registry hives.
To use these plugins, specify the desired plugin name after the --profile
option. For example, to list all loaded DLLs, use the dlllist
plugin:
Conclusion
Volatility is a powerful tool for analyzing memory dumps and extracting valuable information for forensic investigations. This cheat sheet provides a quick reference guide for using Volatility and highlights some of the most commonly used commands and plugins. Experiment with different options and plugins to maximize the effectiveness of your memory analysis.
기타
외부 플러그인
외부 플러그인을 사용하려면 플러그인과 관련된 폴더가 첫 번째 매개변수로 사용되는지 확인하십시오.
Volatility 명령어 요약
Volatility 기본 명령어
imageinfo: 이미지 정보를 표시합니다.
kdbgscan: 디버깅 세션을 찾습니다.
kpcrscan: KPCR을 찾습니다.
pslist: 프로세스 목록을 표시합니다.
pstree: 프로세스 트리를 표시합니다.
psscan: 프로세스 스냅샷을 표시합니다.
dlllist: DLL 목록을 표시합니다.
handles: 핸들 목록을 표시합니다.
cmdline: 명령줄 인수를 표시합니다.
filescan: 파일 스캔을 수행합니다.
malfind: 악성 코드 주소를 찾습니다.
vadinfo: 가상 주소 공간 정보를 표시합니다.
vadtree: 가상 주소 공간 트리를 표시합니다.
vaddump: 가상 주소 공간 덤프를 수행합니다.
memdump: 메모리 덤프를 수행합니다.
moddump: 모듈 덤프를 수행합니다.
modscan: 모듈 스캔을 수행합니다.
ssdt: SSDT 정보를 표시합니다.
gdt: GDT 정보를 표시합니다.
idt: IDT 정보를 표시합니다.
ldrmodules: LDR 모듈 정보를 표시합니다.
apihooks: API 후킹 정보를 표시합니다.
svcscan: 서비스 스캔을 수행합니다.
ssdt: SSDT 정보를 표시합니다.
gdt: GDT 정보를 표시합니다.
idt: IDT 정보를 표시합니다.
ldrmodules: LDR 모듈 정보를 표시합니다.
apihooks: API 후킹 정보를 표시합니다.
svcscan: 서비스 스캔을 수행합니다.
driverirp: 드라이버 IRP 정보를 표시합니다.
drivermodule: 드라이버 모듈 정보를 표시합니다.
driverobject: 드라이버 객체 정보를 표시합니다.
driversection: 드라이버 섹션 정보를 표시합니다.
driverwirp: 드라이버 WIRP 정보를 표시합니다.
driverdevice: 드라이버 디바이스 정보를 표시합니다.
driverfile: 드라이버 파일 정보를 표시합니다.
driverregistry: 드라이버 레지스트리 정보를 표시합니다.
driverirp: 드라이버 IRP 정보를 표시합니다.
drivermodule: 드라이버 모듈 정보를 표시합니다.
driverobject: 드라이버 객체 정보를 표시합니다.
driversection: 드라이버 섹션 정보를 표시합니다.
driverwirp: 드라이버 WIRP 정보를 표시합니다.
driverdevice: 드라이버 디바이스 정보를 표시합니다.
driverfile: 드라이버 파일 정보를 표시합니다.
driverregistry: 드라이버 레지스트리 정보를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
devicetree: 디바이스 트리를 표시합니다.
**dev
Autoruns
https://github.com/tomchop/volatility-autoruns에서 다운로드하세요.
뮤텍스
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Basic Usage
To analyze a memory dump using Volatility, use the following command:
Replace <memory_dump>
with the path to the memory dump file and <command>
with the desired Volatility command.
Volatility Commands
Image Identification
imageinfo: Displays information about the memory dump, such as the operating system version and profile.
Process Analysis
pslist: Lists all running processes in the memory dump.
psscan: Scans for hidden or terminated processes.
Network Analysis
netscan: Lists all network connections in the memory dump.
connscan: Lists all TCP and UDP connections.
Module Analysis
modscan: Lists all loaded modules in the memory dump.
moddump: Dumps a specific module from memory.
Replace <output_directory>
with the desired directory to save the module dump and <module_name>
with the name of the module to dump.
Conclusion
This cheat sheet provides a basic overview of Volatility and its commonly used commands. By leveraging Volatility's capabilities, analysts can perform in-depth memory analysis and extract valuable information from memory dumps.
심볼릭 링크
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the latest version of Volatility from the official GitHub repository:
Change to the Volatility directory:
Run Volatility using the following command:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Set the profile using the
-p
option:Run the desired Volatility command. For example, to list all running processes, use the
pslist
command:
Common Commands
imageinfo
: Retrieves information about the memory dump, such as the profile, architecture, and build time.pslist
: Lists all running processes.pstree
: Displays the process tree, showing parent-child relationships between processes.psscan
: Scans for processes in memory.dlllist
: Lists loaded DLLs for each process.handles
: Lists open handles for each process.connections
: Lists network connections.netscan
: Scans for network connections in memory.malfind
: Finds hidden or injected code in memory.cmdscan
: Scans for command history in memory.filescan
: Scans for file objects in memory.dumpfiles
: Extracts files from memory.hivelist
: Lists registry hives.hivedump
: Dumps a registry hive.hashdump
: Dumps password hashes from memory.
Additional Resources
Bash
메모리에서 bash 히스토리를 읽을 수 있습니다. .bash_history 파일을 덤프할 수도 있지만, 비활성화되었으므로 이 volatility 모듈을 사용할 수 있어 기쁠 것입니다.
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Basic Usage
To analyze a memory dump using Volatility, use the following command:
Replace <memory_dump>
with the path to the memory dump file and <command>
with the desired Volatility command.
Volatility Commands
Image Identification
imageinfo: Retrieve information about the memory dump, such as the operating system version and profile.
Process Analysis
pslist: List all running processes.
psscan: Scan for hidden or terminated processes.
Network Analysis
netscan: List network connections.
connscan: List TCP and UDP connections.
Module Analysis
modscan: List loaded modules.
moddump: Dump a specific module from memory.
Replace <output_directory>
with the desired directory to save the module dump and <module_name>
with the name of the module to dump.
Conclusion
This cheat sheet provides a brief overview of some of the most commonly used Volatility commands for memory dump analysis. Volatility is a powerful tool for forensic analysis and can help uncover valuable information from memory dumps. Experiment with different commands and options to maximize the effectiveness of your memory analysis.
타임라인
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the Volatility source code from the official GitHub repository:
Navigate to the Volatility directory and run the following command to verify the installation:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Once you have identified the profile, use the appropriate plugin to extract the desired information. For example, to list all running processes, use the
pslist
plugin:Use the available options to filter and format the output as needed. For example, to display only the process names and PIDs, use the
--output=csv
and--columns=Name,PID
options:
Advanced Usage
Volatility provides a wide range of plugins for analyzing different aspects of memory dumps. Some of the commonly used plugins include:
pslist
: Lists all running processes.netscan
: Displays network connections.malfind
: Identifies injected and hidden code.dlllist
: Lists loaded DLLs.filescan
: Scans for file handles and file objects.cmdscan
: Lists command history.hivelist
: Lists registry hives.
To use these plugins, specify the desired plugin name after the --profile
option. For example, to list all loaded DLLs, use the dlllist
plugin:
Conclusion
Volatility is a powerful tool for analyzing memory dumps and extracting valuable information for forensic investigations. This cheat sheet provides a quick reference guide for using Volatility and highlights some of the most commonly used commands and plugins. Experiment with different options and plugins to maximize the effectiveness of your memory analysis.
드라이버
Volatility Cheat Sheet
Introduction
This cheat sheet provides a quick reference guide for using Volatility, a popular open-source memory forensics framework. Volatility allows analysts to extract valuable information from memory dumps, such as running processes, network connections, and loaded modules. This cheat sheet covers some of the most commonly used Volatility commands and their corresponding options.
Installation
To install Volatility, follow these steps:
Install Python 2.7 or later.
Install the required Python packages by running the following command:
Download the latest version of Volatility from the official GitHub repository:
Change to the Volatility directory:
Run Volatility using the following command:
Basic Usage
To analyze a memory dump using Volatility, follow these steps:
Identify the profile of the memory dump. The profile specifies the operating system and service pack version. Use the
imageinfo
command to retrieve this information:Set the profile using the
-p
option:Run the desired Volatility command. For example, to list all running processes, use the
pslist
command:
Common Commands
imageinfo
: Retrieves information about the memory dump, such as the profile, architecture, and build time.pslist
: Lists all running processes.pstree
: Displays the process tree, showing parent-child relationships between processes.psscan
: Scans for processes in memory.dlllist
: Lists loaded DLLs for each process.handles
: Lists open handles for each process.connections
: Lists network connections.netscan
: Scans for network connections in memory.malfind
: Finds hidden or injected code in memory.cmdscan
: Scans for command history in memory.filescan
: Scans for file objects in memory.dumpfiles
: Extracts files from memory.hivelist
: Lists registry hives.hivedump
: Dumps a registry hive.hashdump
: Dumps password hashes from memory.
Additional Resources
클립보드 가져오기
IE 히스토리 가져오기
<memory_dump>
: 분석할 메모리 덤프 파일의 경로<profile>
: 분석할 운영 체제의 프로파일
IE 히스토리 분석
<memory_dump>
: 분석할 메모리 덤프 파일의 경로<profile>
: 분석할 운영 체제의 프로파일<index>
: 분석할 히스토리 항목의 인덱스 번호
IE 히스토리 필터링
<memory_dump>
: 분석할 메모리 덤프 파일의 경로<profile>
: 분석할 운영 체제의 프로파일<url>
: 필터링할 URL
IE 히스토리 추출
<memory_dump>
: 분석할 메모리 덤프 파일의 경로<profile>
: 분석할 운영 체제의 프로파일<output_directory>
: 추출된 히스토리를 저장할 디렉토리 경로
메모장 텍스트 가져오기
To get the text from a notepad, you can use the following command:
메모장에서 텍스트를 가져오려면 다음 명령을 사용할 수 있습니다:
Replace <memory_dump>
with the path to your memory dump file.
<memory_dump>
을 메모리 덤프 파일의 경로로 대체하십시오.
스크린샷
마스터 부트 레코드 (MBR)
The Master Boot Record (MBR) is the first sector of a storage device (such as a hard disk) that contains the boot loader and partition table. It plays a crucial role in the boot process of a computer.
마스터 부트 레코드 (MBR)은 부트 로더와 파티션 테이블이 포함된 저장 장치 (예: 하드 디스크)의 첫 번째 섹터입니다. 컴퓨터의 부팅 프로세스에서 중요한 역할을 합니다.
**마스터 부트 레코드 (MBR)**는 저장 매체의 논리적 파티션을 관리하는 데 중요한 역할을 합니다. 이러한 파티션은 서로 다른 파일 시스템으로 구성됩니다. MBR은 파티션 레이아웃 정보를 보유하는 것뿐만 아니라 부트 로더로 작동하는 실행 가능한 코드도 포함합니다. 이 부트 로더는 OS의 두 번째 단계 로딩 프로세스를 직접 시작하거나 각 파티션의 볼륨 부트 레코드 (VBR)와 함께 작동합니다. 자세한 내용은 MBR Wikipedia 페이지를 참조하십시오.
참고 자료
RootedCON은 스페인에서 가장 관련성 높은 사이버 보안 행사로, 유럽에서 가장 중요한 행사 중 하나입니다. 기술적인 지식을 촉진하는 미션을 가진 이 회의는 모든 분야의 기술 및 사이버 보안 전문가들에게 열정적인 만남의 장입니다.
Last updated