Volatility - CheatSheet
RootedCON to najważniejsze wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.
Jeśli chcesz szybkie i szalone narzędzie, które uruchomi kilka wtyczek Volatility równolegle, możesz skorzystać z: https://github.com/carlospolop/autoVolatility
Instalacja
volatility3
volatility2
Polecenia Volatility
Dostęp do oficjalnej dokumentacji znajdziesz w Referencji poleceń Volatility
Uwaga dotycząca wtyczek „list” vs. „scan”
Volatility ma dwa główne podejścia do wtyczek, które czasami odzwierciedlają się w ich nazwach. Wtyczki „list” będą próbować nawigować przez struktury jądra systemu Windows, aby odzyskać informacje, takie jak procesy (lokalizacja i przechodzenie przez listę połączoną struktur _EPROCESS w pamięci), uchwyty systemowe (lokalizacja i wylistowanie tabeli uchwytów, dereferencjonowanie znalezionych wskaźników, itp.). Zachowują się one mniej więcej tak, jakby system Windows API został poproszony o wylistowanie procesów.
To sprawia, że wtyczki „list” są dość szybkie, ale równie podatne na manipulację przez złośliwe oprogramowanie jak Windows API. Na przykład, jeśli złośliwe oprogramowanie użyje DKOM do odłączenia procesu od listy połączonej struktur _EPROCESS, nie pojawi się ono w Menedżerze zadań, ani w pslist.
Wtyczki „scan” z kolei podejmą podejście podobne do wycinania pamięci w poszukiwaniu rzeczy, które mogą mieć sens, gdy zostaną dereferencjonowane jako konkretne struktury. Na przykład psscan odczyta pamięć i spróbuje utworzyć obiekty _EPROCESS z niej (używa skanowania tagów puli, które polega na wyszukiwaniu 4-bajtowych ciągów wskazujących na obecność interesującej struktury). Zaletą jest to, że może wydobyć procesy, które zostały zakończone, a nawet jeśli złośliwe oprogramowanie ingeruje w listę połączoną struktur _EPROCESS, wtyczka nadal znajdzie strukturę pozostającą w pamięci (ponieważ musi nadal istnieć, aby proces mógł działać). Wada polega na tym, że wtyczki „scan” są nieco wolniejsze niż wtyczki „list” i czasami mogą dawać fałszywe wyniki (proces, który został zakończony zbyt dawno i którego części struktury zostały nadpisane przez inne operacje).
Źródło: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/
Profile systemów operacyjnych
Volatility3
Jak wyjaśniono w pliku readme, musisz umieścić tabelę symboli systemu operacyjnego, który chcesz obsługiwać w volatility3/volatility/symbols. Pakiety tabel symboli dla różnych systemów operacyjnych są dostępne do pobrania pod adresem:
Volatility2
Profil zewnętrzny
Możesz uzyskać listę obsługiwanych profili wykonując:
Jeśli chcesz użyć nowego profilu, który pobrałeś (na przykład profilu linux), musisz utworzyć gdzieś następującą strukturę folderów: plugins/overlays/linux i umieścić wewnątrz tego folderu plik zip zawierający profil. Następnie, uzyskaj numer profilu, korzystając z:
Możesz pobrać profile Linuxa i Maca z https://github.com/volatilityfoundation/profiles
W poprzednim fragmencie możesz zobaczyć, że profil nazywa się LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64, i możesz go użyć do wykonania czegoś w stylu:
Odkryj profil
Różnice między imageinfo a kdbgscan
Z tej strony: W przeciwieństwie do imageinfo, które po prostu proponuje profile, kdbgscan jest zaprojektowany do pozytywnego zidentyfikowania poprawnego profilu i poprawnego adresu KDBG (jeśli istnieje ich kilka). Ten plugin skanuje sygnatury nagłówka KDBG powiązane z profilami Volatility i stosuje testy spójności w celu zmniejszenia fałszywych wyników. Natężenie wyników i liczba testów spójności, które można przeprowadzić, zależy od tego, czy Volatility może znaleźć DTB, więc jeśli już znasz poprawny profil (lub jeśli masz sugestię profilu z imageinfo), upewnij się, że go używasz.
Zawsze sprawdź liczbę procesów, które znalazł kdbgscan. Czasami imageinfo i kdbgscan mogą znaleźć więcej niż jeden odpowiedni profil, ale tylko ten poprawny będzie miał związane z nim pewne procesy (Dzieje się tak, ponieważ do wyodrębnienia procesów potrzebny jest poprawny adres KDBG)
KDBG
Blok debugera jądra, określany jako KDBG przez narzędzie Volatility, jest kluczowy dla zadań z zakresu forensyki wykonywanych przez Volatility oraz różne debuggery. Zidentyfikowany jako KdDebuggerDataBlock i typu _KDDEBUGGER_DATA64, zawiera istotne odwołania, takie jak PsActiveProcessHead. To konkretne odwołanie wskazuje na początek listy procesów, umożliwiając wylistowanie wszystkich procesów, co jest fundamentalne dla dokładnej analizy pamięci.
Informacje o systemie
Wtyczka banners.Banners może być użyta w vol3 do próby znalezienia banerów systemu Linux w zrzucie.
Skróty/Hasła
Wyodrębnij skróty SAM, bufory pamięci podręcznej domeny i sekrety LSA.
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDumping a process:
vol.py -f <memory_dump> --profile=<profile> procdump -p <pid> -D <output_directory>File scan:
vol.py -f <memory_dump> --profile=<profile> filescanYara scan:
vol.py -f <memory_dump> --profile=<profile> yarascan --yara-rules=<rules_file>
Plugins
Check for rootkits:
vol.py -f <memory_dump> --profile=<profile> malfindNetwork connections:
vol.py -f <memory_dump> --profile=<profile> connscanRegistry analysis:
vol.py -f <memory_dump> --profile=<profile> printkey -K <registry_key>Detecting hidden processes:
vol.py -f <memory_dump> --profile=<profile> psxview
Memory Analysis
Identifying injected code:
vol.py -f <memory_dump> --profile=<profile> malfindDetecting API hooks:
vol.py -f <memory_dump> --profile=<profile> apihooksFinding hidden processes:
vol.py -f <memory_dump> --profile=<profile> ldrmodules
Timeline Analysis
Listing processes by start time:
vol.py -f <memory_dump> --profile=<profile> pstreeListing all processes with creation time:
voljson.py -f <memory_dump> --profile=<profile> pslist
Network Analysis
Listing open sockets:
vol.py -f <memory_dump> --profile=<profile> socketsListing network connections:
vol.py -f <memory_dump> --profile=<profile> connscanListing DLLs loaded by a process:
vol.py -f <memory_dump> --profile=<profile> dlllist -p <pid>
User Activity Analysis
Listing user accounts:
vol.py -f <memory_dump> --profile=<profile> useraccountsListing user sessions:
vol.py -f <memory_dump> --profile=<profile> sessionsListing user activity:
vol.py -f <memory_dump> --profile=<profile> userassist
Zrzut pamięci
Zrzut pamięci procesu wydobędzie wszystko z bieżącego stanu procesu. Moduł procdump wydobędzie tylko kod.
RootedCON to najważniejsze wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres stanowi gorące miejsce spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.
Procesy
Wyświetlanie procesów
Spróbuj znaleźć podejrzane procesy (po nazwie) lub niespodziewane procesy potomne (na przykład cmd.exe jako proces potomny iexplorer.exe). Może być interesujące porównanie wyników pslist z wynikami psscan w celu zidentyfikowania ukrytych procesów.
Polecenia wykonane w cmd.exe są zarządzane przez conhost.exe (lub csrss.exe w systemach przed Windows 7). Oznacza to, że jeśli cmd.exe zostanie zakończony przez atakującego przed uzyskaniem zrzutu pamięci, nadal można odzyskać historię poleceń sesji z pamięci conhost.exe. Aby to zrobić, jeśli wykryto nietypową aktywność w modułach konsoli, należy wykonać zrzut pamięci procesu powiązanego z conhost.exe. Następnie, wyszukując ciągi znaków w tym zrzucie, można potencjalnie wyodrębnić używane w sesji linie poleceń.
Środowisko
Pobierz zmienne środowiskowe każdego działającego procesu. Mogą tam być interesujące wartości.
Podstawowa metodyka analizy dumpa pamięci za pomocą narzędzia Volatility
Ogólne polecenia
imageinfo- Wyświetla informacje o obrazie pamięcikdbgscan- Skanuje pamięć w poszukiwaniu struktury KDBGpslist- Wyświetla listę procesówpstree- Wyświetla drzewo procesówdlllist- Wyświetla listę załadowanych bibliotek dynamicznychhandles- Wyświetla listę uchwytów procesówfilescan- Skanuje pamięć w poszukiwaniu struktur plikówcmdline- Wyświetla argumenty wiersza poleceń dla procesówconsoles- Wyświetla listę konsol procesówvadinfo- Wyświetla informacje o regionach pamięci VADvadtree- Wyświetla drzewo regionów pamięci VADmalfind- Skanuje pamięć w poszukiwaniu podejrzanych zachowańldrmodules- Wyświetla listę modułów załadowanych przez procesyapihooks- Wyświetla informacje o hakach APIsvcscan- Skanuje pamięć w poszukiwaniu baz danych usługconnections- Wyświetla listę otwartych połączeńsockets- Wyświetla listę otwartych gniazddevicetree- Wyświetla drzewo urządzeńmodscan- Skanuje pamięć w poszukiwaniu modułów jądrassdt- Wyświetla informacje o SSDTcallbacks- Wyświetla informacje o callbackachgdt- Wyświetla informacje o GDTidt- Wyświetla informacje o IDTdriverscan- Skanuje pamięć w poszukiwaniu sterownikówyarascan- Skanuje pamięć przy użyciu reguł YARAdumpfiles- Wyodrębnia pliki z dumpa pamięcidumpregistry- Wyodrębnia rejestr z dumpa pamięcimemmap- Wyświetla mapę pamięciatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Skanuje pamięć w poszukiwaniu obiektów atomowychatomscan- Sk
Uprawnienia tokenów
Sprawdź uprawnienia tokenów w nieoczekiwanych usługach. Może być interesujące wymienić procesy korzystające z pewnego uprzywilejowanego tokenu.
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDump process:
vol.py -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>File scan:
vol.py -f <memory_dump> --profile=<profile> filescan
Malware Analysis
Malware scan:
vol.py -f <memory_dump> --profile=<profile> malscanYara scan:
vol.py -f <memory_dump> --profile=<profile> yarascan --yara-rules=<rules_file>
Network Analysis
Network connections:
vol.py -f <memory_dump> --profile=<profile> connscanSockets:
vol.py -f <memory_dump> --profile=<profile> socketsConnections by process:
vol.py -f <memory_dump> --profile=<profile> connscan -p <pid>
Registry Analysis
Registry hives:
vol.py -f <memory_dump> --profile=<profile> hivelistDump registry:
vol.py -f <memory_dump> --profile=<profile> printkey -o <offset>UserAssist:
vol.py -f <memory_dump> --profile=<profile> userassist
Timeline Analysis
Timeliner:
vol.py -f <memory_dump> --profile=<profile> timeliner
Other Commands
API hooks:
vol.py -f <memory_dump> --profile=<profile> apihooksDriver modules:
vol.py -f <memory_dump> --profile=<profile> modscanSSDT:
vol.py -f <memory_dump> --profile=<profile> ssdtHandles:
vol.py -f <memory_dump> --profile=<profile> handlesPrivileges:
vol.py -f <memory_dump> --profile=<profile> privsCrashinfo:
vol.py -f <memory_dump> --profile=<profile> crashinfo
Volatility Plugins
List available plugins:
vol.py --info | grep -i <keyword>Run a specific plugin:
vol.py -f <memory_dump> --profile=<profile> <plugin_name>
SIDs
Sprawdź każde SSID posiadane przez proces. Może być interesujące wymienić procesy korzystające z SID uprawnień (oraz procesy korzystające z pewnego SID usługi).
Metodologia analizy dumpa pamięci za pomocą narzędzia Volatility:
Zbieranie informacji o systemie:
imageinfo: Pobierz podstawowe informacje o dumpie pamięci.kdbgscan: Znajdź adres Debug Data Block.dt: Wyświetl informacje o typach danych.
Analiza procesów:
pslist: Wyświetl listę procesów.pstree: Wyświetl drzewo procesów.psscan: Skanuj procesy w poszukiwaniu ukrytych.
Analiza modułów:
modlist: Wyświetl listę załadowanych modułów.modscan: Znajdź moduły w pamięci.
Analiza zasobów:
handles: Wyświetl otwarte uchwyty.dlllist: Wyświetl listę załadowanych bibliotek.
Analiza rejestrów:
hivelist: Wyświetl listę załadowanych plików rejestru.printkey: Wyświetl zawartość klucza rejestru.
Analiza sieci:
netscan: Skanuj otwarte porty i połączenia sieciowe.connections: Wyświetl otwarte połączenia.
Analiza plików:
filescan: Skanuj otwarte pliki.dumpfiles: Wyodrębnij pliki z dumpa pamięci.
Analiza zachowań:
cmdscan: Wyświetl historię poleceń w procesach.consoles: Wyświetl otwarte konsoli.
Analiza rezydentów:
ldrmodules: Wyświetl moduły rezydentne.driverirp: Analiza obiektów IRP sterowników.
Analiza wątków:
threads: Wyświetl listę wątków.thrdscan: Skanuj wątki w poszukiwaniu ukrytych.
Analiza usług:
svcscan: Wyświetl listę usług.svcscan -t: Wyświetl usługi typu kernel.
Analiza harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza plików pamięci stronicowanej:
memmap: Wyświetl mapowanie pamięci.memdump: Wyodrębnij plik pamięci stronicowanej.
Analiza wirtualnej pamięci:
vadinfo: Wyświetl informacje o regionach pamięci.vaddump: Wyodrębnij zawartość regionu pamięci.
Analiza wstrzykiwania kodu:
malfind: Znajdź podejrzane zachowania.apihooks: Wykryj hooki API.
Analiza rootkitów:
ssdt: Wyświetl informacje o SSDT.callbacks: Wyświetl informacje o callbackach.
Analiza exploitów:
gdt: Wyświetl deskryptory tablicy globalnej.idt: Wyświetl deskryptory tablicy przerwań.
Analiza bezpieczeństwa:
malfind: Znajdź podejrzane zachowania.yarascan: Skanuj pamięć przy użyciu reguł YARA.
Analiza złośliwego oprogramowania:
malfind: Znajdź podejrzane zachowania.yarascan: Skanuj pamięć przy użyciu reguł YARA.
Analiza ataków:
malfind: Znajdź podejrzane zachowania.apihooks: Wykryj hooki API.
Analiza danych:
bulk_extractor: Wyodrębnij dane z dumpa pamięci.hashdump: Wyświetl hasła z pamięci.
Analiza systemu plików:
mftparser: Analiza MFT.usnparser: Analiza USN Journal.
Analiza logów:
logonlist: Wyświetl listę logowań.userassist: Wyświetl informacje o aktywności użytkownika.
Analiza rejestru zdarzeń:
hivedump: Wyodrębnij zawartość rejestru.printkey: Wyświetl zawartość klucza rejestru.
Analiza zabezpieczeń:
getsids: Wyświetl informacje o SID.privs: Wyświetl informacje o uprawnieniach.
Analiza informacji o systemie:
svcscan: Wyświetl listę usług.driverirp: Analiza obiektów IRP sterowników.
Analiza danych z rejestru:
hivelist: Wyświetl listę załadowanych plików rejestru.printkey: Wyświetl zawartość klucza rejestru.
Analiza danych z plików:
filescan: Skanuj otwarte pliki.dumpfiles: Wyodrębnij pliki z dumpa pamięci.
Analiza danych z sieci:
netscan: Skanuj otwarte porty i połączenia sieciowe.connections: Wyświetl otwarte połączenia.
Analiza danych z procesów:
cmdscan: Wyświetl historię poleceń w procesach.consoles: Wyświetl otwarte konsoli.
Analiza danych z modułów:
modlist: Wyświetl listę załadowanych modułów.modscan: Znajdź moduły w pamięci.
Analiza danych z wątków:
threads: Wyświetl listę wątków.thrdscan: Skanuj wątki w poszukiwaniu ukrytych.
Analiza danych z usług:
svcscan: Wyświetl listę usług.svcscan -t: Wyświetl usługi typu kernel.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Analiza danych z harmonogramu zadań:
cmdline: Wyświetl listę zaplanowanych zadań.malfind: Znajdź podejrzane zachowania.
Uchwyty
Przydatne do określenia, do których innych plików, kluczy, wątków, procesów... proces ma uchwyt (jest otwarty)
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <file> imageinfoFile scan:
vol.py -f <file> filescanProcess list:
vol.py -f <file> pslistConnections:
vol.py -f <file> connscan
Process Analysis
DLL list:
vol.py -f <file> dlllist -p <pid>Handles:
vol.py -f <file> handles -p <pid>PS tree:
vol.py -f <file> pstree
Network Analysis
Sockets:
vol.py -f <file> socketsConnections:
volfile> connscan
Memory Analysis
Vad Tree:
vol.py -f <file> vadtreeVad Tree (specific process):
vol.py -f <file> vadtree -p <pid>Strings:
vol.py -f <file> strings -s
Malware Analysis
Yara scan:
vol.py -f <file> yarascan --yara-rules <rules_file>
Registry Analysis
Print key:
vol.py -f <file> printkey -K <key>User Assist:
vol.py -f <file> userassist
Plugin Management
List plugins:
vol.py --info | grep -i <keyword>Run plugin:
vol.py -f <file> --profile=<profile> <plugin_name>
Other Useful Commands
Cache Dump:
vol.py -f <file> cachedumpHash Dump:
vol.py -f <file> hashdumpSSDT:
vol.py -f <file> ssdtDriver Module:
vol.py -f <file> moddump -D <driver_name>
Biblioteki DLL
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDumping a process:
vol.py -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>File scan:
vol.py -f <memory_dump> --profile=<profile> filescan
Plugins
Check for rootkits:
vol.py -f <memory_dump> --profile=<profile> malfindNetwork connections:
vol.py -f <memory_dump> --profile=<profile> netscanRegistry analysis:
vol.py -f <memory_dump> --profile=<profile> printkey -K <registry_key>Detecting hidden processes:
vol.py -f <memory_dump> --profile=<profile> psxview
Volatility Profiles
List available profiles:
vol.py --info | grep ProfileSpecify profile: Add
--profile=<profile>to commands
Memory Analysis
Identifying processes:
vol.py -f <memory_dump> --profile=<profile> pslistChecking process DLLs:
vol.py -f <memory_dump> --profile=<profile> dlllist -p <pid>Identifying process threads:
vol.py -f <memory_dump> --profile=<profile> threads -p <pid>
Malware Analysis
Identifying injected code:
vol.py -f <memory_dump> --profile=<profile> malfindAnalyzing process memory:
vol.py -f <memory_dump> --profile=<profile> memmap -p <pid>Detecting hidden processes:
vol.py -f <memory_dump> --profile=<profile> psxview
Network Analysis
Checking network connections:
vol.py -f <memory_dump> --profile=<profile> netscanAnalyzing network packets:
vol.py -f <memory_dump> --profile=<profile> tcpip
File Analysis
Scanning for files:
vol.py -f <memory_dump> --profile=<profile> filescanDumping files:
vol.py -f <memory_dump> --profile=<profile> dumpfiles -Q <physical_offset> -D <output_directory>
Registry Analysis
Listing registry keys:
vol.py -f <memory_dump> --profile=<profile> printkey -K <registry_key>Dumping registry hives:
vol.py -f <memory_dump> --profile=<profile> hivelist
Ciągi znaków na procesy
Volatility pozwala nam sprawdzić, do którego procesu należy dany ciąg znaków.
Wolatility Cheat Sheet
Volatility Installation
Basic Commands
Image info:
volatility -f <memory_dump> imageinfoRunning processes:
volatility -f <memory_dump> --profile=<profile> pslistDumping a process:
volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>Listing all processes:
volatility -f <memory_dump> --profile=<profile> psscanDumping all processes:
volatility -f <memory_dump> --profile=<profile> procdump -D <output_directory>Network connections:
volatility -f <memory_dump> --profile=<profile> connectionsRegistry analysis:
volatility -f <memory_dump> --profile=<profile> hivelistRecovering deleted files:
volatility -f <memory_dump> --profile=<profile> filescan
Advanced Commands
Detecting rootkits:
volatility -f <memory_dump> --profile=<profile> malfindAnalyzing DLLs:
voljson -f <memory_dump> --profile=<profile> dlllistIdentifying injected code:
volatility -f <memory_dump> --profile=<profile> malfindAnalyzing drivers:
volatility -f <memory_dump> --profile=<profile> driverscanExtracting registry hives:
volatility -f <memory_dump> --profile=<profile> printkey -o <offset>Analyzing process handles:
volatility -f <memory_dump> --profile=<profile> handles
Memory Forensics
Identifying processes: Analyzing running processes to detect malicious activity.
Analyzing network connections: Identifying unauthorized network connections.
Recovering deleted files: Finding and recovering files that have been deleted.
Detecting rootkits: Identifying and analyzing rootkits in memory dumps.
Analyzing DLLs: Examining loaded DLLs for signs of malicious activity.
Identifying injected code: Detecting code injection in processes.
Analyzing drivers: Investigating loaded drivers for suspicious behavior.
Extracting registry hives: Extracting and analyzing registry hives for evidence.
Analyzing process handles: Examining process handles for signs of tampering.
References
Pozwala również na wyszukiwanie ciągów znaków wewnątrz procesu za pomocą modułu yarascan:
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDumping a process:
vol.py -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>File scan:
vol.py -f <memory_dump> --profile=<profile> filescan
Malware Analysis
Malware scan:
vol.py -f <memory_dump> --profile=<profile> malscanYARA scan:
vol.py -f <memory_dump> --profile=<profile> yarascan --yara-rules=<rules_file>
Network Analysis
Network connections:
vol.py -f <memory_dump> --profile=<profile> connscanSocket scan:
vol.py -f <memory_dump> --profile=<profile> socketsPacket extraction:
vol.py -f <memory_dump> --profile=<profile> tcpstream -D <output_directory>
User Activity
Registry analysis:
vol.py -f <memory_dump> --profile=<profile> printkey -K <key_path>User login events:
vol.py -f <memory_dump> --profile=<profile> userassistCommand history:
vol.py -f <memory_dump> --profile=<profile> cmdscan
Rootkit Detection
SSDT hook detection:
vol.py -f <memory_dump> --profile=<profile> ssdtHidden processes:
vol.py -f <memory_dump> --profile=<profile> psxviewHidden modules:
vol.py -f <memory_dump> --profile=<profile> ldrmodules
Volatility Plugins
List available plugins:
vol.py --info | grep <keyword>Plugin usage:
vol.py -f <memory_dump> --profile=<profile> <plugin_name>
Memory Dump Analysis
Identifying suspicious processes: Look for unknown processes, processes with no associated image file, or processes with suspicious names.
Analyzing network connections: Check for unusual network connections, connections to known malicious IPs, or connections on uncommon ports.
Examining registry entries: Look for suspicious or unauthorized registry changes, unfamiliar keys, or modifications to system-critical keys.
Reviewing user activity: Investigate abnormal user login/logout times, unusual commands executed, or unauthorized access to sensitive files.
Detecting rootkits: Search for discrepancies in system call tables, hidden processes, or modules that do not appear in standard listings.
References
UserAssist
System Windows śledzi programy, które uruchamiasz, korzystając z funkcji rejestru o nazwie klucze UserAssist. Te klucze rejestru rejestrują, ile razy każdy program został uruchomiony i kiedy ostatnio był uruchamiany.
Podstawowa metodologia analizy dumpingu pamięci
Volatility Cheatsheet
Analiza dumpingu pamięci
volatility -f <plik_dmp> imageinfo- Wyświetla informacje o profilu systemu operacyjnego.volatility -f <plik_dmp> pslist- Wyświetla listę procesów.volatility -f <plik_dmp> psscan- Skanuje procesy.volatility -f <plik_dmp> pstree- Wyświetla drzewo procesów.volatility -f <plik_dmp> dlllist- Wyświetla listę załadowanych bibliotek dynamicznych.volatility -f <plik_dmp> filescan- Skanuje deskryptory plików.volatility -f <plik_dmp> cmdline- Wyświetla argumenty wiersza poleceń procesów.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.volatility -f <plik_dmp> connections- Wyświetla listę połączeń sieciowych.volatility -f <plik_dmp> timeliner- Tworzy chronologię zdarzeń.
Analiza rejestru
volatility -f <plik_dmp> hivelist- Wyświetla listę struktur rejestru.volatility -f <plik_dmp> printkey -o <offset>- Wyświetla zawartość klucza rejestru.volatility -f <plplik_dmp> userassist- Wyświetla informacje o aktywności użytkownika.
Analiza plików
volatility -f <plik_dmp> filescan- Skanuje deskryptory plików.volatility -f <plik_dmp> dumpfiles -Q <adres>- Zapisuje plik z pamięci.
Analiza sieciowa
volatility -f <plik_dmp> connscan- Skanuje połączenia sieciowe.volatility -f <plik_dmp> sockets- Wyświetla listę gniazd sieciowych.
Analiza zabezpieczeń
volatility -f <plik_dmp> getsids- Wyświetla identyfikatory zabezpieczeń.volatility -f <plik_dmp> getservicesids- Wyświetla identyfikatory usług.
Analiza modułów jądra
volatility -f <plik_dmp> modules- Wyświetla listę załadowanych modułów jądra.volatility -f <plik_dmp> modscan- Skanuje moduły jądra.
Analiza procesów
volatility -f <plik_dmp> pslist- Wyświetla listę procesów.volatility -f <plik_dmp> psscan- Skanuje procesy.volatility -f <plik_dmp> pstree- Wyświetla drzewo procesów.volatility -f <plik_dmp> cmdline- Wyświetla argumenty wiersza poleceń procesów.
Analiza wirtualnej pamięci
volatility -f <plik_dmp> memmap- Wyświetla mapowanie pamięci.volatility -f <plik_dmp> memdump -p <pid> -D <katalog_docelowy>- Tworzy dump pamięci procesu.
Analiza systemu plików
volatility -f <plik_dmp> mftparser- Analizuje Master File Table (MFT).volatility -f <plik_dmp> filescan- Skanuje deskryptory plików.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
Analiza harmonogramu zadań
volatility -f <plik_dmp> malfind- Wykrywa podejrzane procesy i moduły.volatility -f <plik_dmp> svcscan- Skanuje usługi.volatility -f <plik_dmp> netscan- Skanuje otwarte połączenia sieciowe.
RootedCON to najważniejsze wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres jest gorącym punktem spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.
Usługi
Sieć
Wolatility Cheat Sheet
Basic Commands
imageinfo: Identify information about the profile.
pslist: List running processes.
pstree: Display a tree view of processes.
psscan: Scan physical memory for processes.
dlllist: List DLLs loaded by each process.
handles: List open handles for each process.
filescan: Scan for file handles in memory.
svcscan: Identify Windows services.
connscan: List open network connections.
cmdline: Display process command-line arguments.
malfind: Find hidden and injected code.
ldrmodules: Detect unlinked DLLs.
apihooks: Detect userland API hooks.
callbacks: Detect kernel callbacks.
devicetree: Display the device tree.
driverirp: Detect IRP handlers.
modscan: Find and dump kernel modules.
ssdt: Display the System Service Descriptor Table.
idt: Display the Interrupt Descriptor Table.
gdt: Display the Global Descriptor Table.
getsids: List Security IDs (SIDs).
privs: Display process privileges.
privs: Display process privileges.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind: Find hidden and injected code.
malfind:
Rejestr hive
Wyświetl dostępne hives
Zrzut pamięci
System plików
Montowanie
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDumping a process:
vol.py -f <memory_dump> --profile=<profile> procdump -p <pid> -D <output_directory>File scan:
vol.py -f <memory_dump> --profile=<profile> filescan
Plugins
Check for rootkits:
vol.py -f <memory_dump> --profile=<profile> malfindNetwork connections:
vol.py -f <memory_dump> --profile=<profile> netscanRegistry analysis:
vol.py -f <memory_dump> --profile=<profile> printkey -K <registry_key>Detecting hidden processes:
vol.py -f <memory_dump> --profile=<profile> psxview
Memory Analysis
Identifying injected code:
vol.py -f <memory_dump> --profile=<profile> malfindAnalyzing DLLs:
vol.py -f <memory_dump> --profile=<profile> dlllistFinding open sockets:
vol.py -f <memory_dump> --profile=<profile> sockscan
Additional Resources
References
Skanowanie/dumpowanie
## Podstawowa metodologia analizy dumpingu pamięci
Skróty klawiszowe Volatility
imageinfo - Informacje o obrazie pamięci
kdbgscan - Skanowanie KDBG
pslist - Lista procesów
pstree - Drzewo procesów
dlllist - Lista bibliotek DLL
handles - Lista uchwytów
filescan - Skanowanie plików
cmdline - Linia poleceń
psscan - Skanowanie procesów
netscan - Skanowanie sieci
connections - Lista połączeń
sockets - Lista gniazd
svcscan - Skanowanie usług
modscan - Skanowanie modułów
malfind - Znajdowanie podejrzanych procesów
yarascan - Skanowanie YARA
dumpfiles - Zrzucanie plików
dumpregistry - Zrzucanie rejestru
dlldump - Zrzucanie bibliotek DLL
memdump - Zrzucanie pamięci
hashdump - Zrzucanie haseł
hivelist - Lista struktur rejestru
printkey - Wyświetlanie klucza rejestru
fileinfo - Informacje o pliku
vadinfo - Informacje o VAD
vaddump - Zrzucanie VAD
vadtree - Drzewo VAD
vadwalk - Przechodzenie VAD
callbacks - Lista wywołań zwrotnych
devicetree - Drzewo urządzeń
driverirp - Analiza IRP sterownika
ssdt - Wyświetlanie SSDT
gdt - Wyświetlanie GDT
idt - Wyświetlanie IDT
ldrmodules - Lista modułów ładowania
drivermodules - Lista modułów sterownika
modules - Lista modułów
moddump - Zrzucanie modułów
atomscan - Skanowanie atomów
atomtable - Wyświetlanie tabeli atomów
atomstrings - Wyświetlanie ciągów atomów
ssdeep - Porównywanie SSDEEP
impscan - Skanowanie importów
apihooks - Wykrywanie haków API
callbacks - Lista wywołań zwrotnych
mutantscan - Skanowanie mutacji
deskscan - Skanowanie pulpitów
wndscan - Skanowanie okien
thrdscan - Skanowanie wątków
ldrmodules - Lista modułów ładowania
MFT - Master File Table
System plików NTFS wykorzystuje istotny komponent znany jako master file table (MFT). Ta tabela zawiera co najmniej jedno wpis dla każdego pliku na woluminie, obejmując również samą MFT. Istotne szczegóły dotyczące każdego pliku, takie jak rozmiar, znaczniki czasu, uprawnienia i rzeczywiste dane, są zawarte w wpisach MFT lub w obszarach zewnętrznych w odniesieniu do tych wpisów. Więcej szczegółów można znaleźć w oficjalnej dokumentacji.
Klucze/Certyfikaty SSL
Autoruns
Pobierz go z https://github.com/tomchop/volatility-autoruns
Mutexy
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDump process:
vol.py -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>File scan:
vol.py -f <memory_dump> --profile=<profile> filescan
Plugins
Check for rootkits:
vol.py -f <memory_dump> --profile=<profile> malfindNetwork connections:
vol.py -f <memory_dump> --profile=<profile> netscanRegistry analysis:
vol.py -f <memory_dump> --profile=<profile> printkey -K <registry_key>Detecting hidden processes:
vol.py -f <memory_dump> --profile=<profile> psxview
Memory Analysis
Identify injected code:
vol.py -f <memory_dump> --profile=<profile> malfindExtract DLLs:
vol.py -f <memory_dump> --profile=<profile> dlldumpAnalyze process memory:
vol.py -f <memory_dump> --profile=<profile> memmap
Timeline Analysis
Show all processes:
vol.py -f <memory_dump> --profile=<profile> pstotalDisplay process timelines:
vol.py -f <memory_dump> --profile=<profile> psscan
Malware Analysis
Detecting hidden modules:
vol.py -f <memory_dump> --profile=<profile> ldrmodulesIdentify injected threads:
vol.py -f <memory_dump> --profile=<profile> ldrmodules
Network Analysis
List sockets:
vol.py -f <memory_dump> --profile=<profile> socketsShow network connections:
voljson.py -f <memory_dump> --profile=<profile> connscan
User Activity Analysis
List user accounts:
vol.py -f <memory_dump> --profile=<profile> useraccountsRecover typed commands:
vol.py -f <memory_dump> --profile=<profile> cmdscan
Dowiązania symboliczne
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDumping a process:
vol.py -f <memory_dump> --profile=<profile> procdump -p <pid> -D <output_directory>DLL list of a process:
vol.py -f <memory_dump> --profile=<profile> dlllist -p <pid>Handles of a process:
vol.py -f <memory_dump> --profile=<profile> handles -p <pid>Registry hives:
vol.py -f <memory_dump> --profile=<profile> hivelistDumping a registry hive:
vol.py -f <memory_dump> --profile=<profile> printkey -o <output_directory> -K <hive_offset>Network connections:
vol.py -f <memory_dump> --profile=<profile> connectionsPatching a process:
vol.py -json -f <memory_dump> --profile=<profile> malfindDetecting hidden processes:
vol.py -f <memory_dump> --profile=<profile> psxviewKernel drivers:
vol.py -f <memory_dump> --profile=<profile> driverscan
Advanced Commands
Detecting injected code:
vol.py -f <memory_dump> --profile=<profile> malfindDetecting rootkits:
vol.py -f <memory_dump> --profile=<profile> ldrmodulesDetecting hooks:
vol.py -f <memory_dump> --profile=<profile> apihooksDetecting SSDT hooks:
vol.py -f <memory_dump> --profile=<profile> ssdtDetecting IDT hooks:
vol.py -f <memory_dump> --profile=<profile> idtDetecting user-mode hooks:
vol.py -f <memory_dump> --profile=<profile> usermodehooksDetecting driver hooks:
vol.py -f <memory_dump> --profile=<profile> driverirpDetecting fileless malware:
vol.py -f <memory_dump> --profile=<profile> fileless_malwareDetecting process hollowing:
vol.py -f <memory_dump> --profile=<profile> hollowfindDetecting API hooking:
vol.py -f <memory_dump> --profile=<profile> apihooksDetecting covert processes:
vol.py -f <memory_dump> --profile=<profile> psxviewDetecting hidden modules:
vol.py -f <memory_dump> --profile=<profile> modscanDetecting hidden drivers:
vol.py -f <memory_dump> --profile=<profile> hiddenDetecting hidden files:
vol.py -f <memory_dump> --profile=<profile> filescanDetecting hidden registry keys:
vol.py -f <memory_dump> --profile=<profile> hivescanDetecting hidden TCP/UDP ports:
vol.py -f <memory_dump> --profile=<profile> netscan
Memory Forensics
Identifying kernel modules:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying user-mode modules:
vol.py -f <memory_dump> --profile=<profile> modscanIdentifying hidden processes:
vol.py -f <memory_dump> --profile=<profile> psxviewIdentjsonifying injected code:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected processes:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected threads:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected drivers:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected DLLs:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected IRPs:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected SSDT entries:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected IDT entries:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected system call tables:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected syscall handlers:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected user-mode hooks:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected driver hooks:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected file system filter drivers:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying injected fileless malware:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying process hollowing:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying API hooking:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying covert processes:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying hidden modules:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying hidden drivers:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying hidden files:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying hidden registry keys:
vol.py -f <memory_dump> --profile=<profile> malfindIdentifying hidden TCP/UDP ports:
vol.py -f <memory_dump> --profile=<profile> malfind
Bash
Możliwe jest odczytanie historii poleceń bash z pamięci. Możesz również zrzucić plik .bash_history, ale jeśli jest wyłączony, będziesz zadowolony z użycia tego modułu w volatility.
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDump process:
vol.py -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>File scan:
vol.py -f <memory_dump> --profile=<profile> filescan
Plugins
Check for rootkits:
vol.py -f <memory_dump> --profile=<profile> malfindNetwork connections:
vol.py -f <memory_dump> --profile=<profile> netscanRegistry analysis:
vol.py -f <memory_dump> --profile=<profile> printkey -K <registry_key>Detect hidden processes:
vol.py -f <memory_dump> --profile=<profile> psxview
Volatility GUI
Launch GUI:
vol.py -f <memory_dump> --profile=<profile> --dtb <dtb_address> gui
Memory Analysis
Identify injected code:
vol.py -f <memory_dump> --profile=<profile> malfindAnalyze DLLs:
vol.py -f <memory_dump> --profile=<profile> dlllistExtract cached passwords:
vol.py -f <memory_dump> --profile=<profile> hashdump
Timeline Analysis
Show processes timeline:
vol.py -f <memory_dump> --profile=<profile> pstreeDisplay network connections timeline:
vol.py -f <memory_dump> --profile=<profile> connscan
Malware Analysis
Analyze process DLLs:
vol.py -f <memory_dump> --profile=<profile> malfindInvestigate sockets:
vol.py -f <memory_dump> --profile=<profile> socketsCheck for injected threads:
vol.py -f <memory_dump> --profile=<profile> ldrmodules
Additional Resources
Harmonogram
Podstawowa metodyka analizy dumpu pamięci za pomocą narzędzia Volatility
Ogólne polecenia
volatility -f <dump_file> imageinfo- Wyświetla informacje o dumpie pamięci.volatility -f <dump_file> --profile=<profile> <command>- Uruchamia polecenie dla określonego profilu.
Analiza procesów
volatility -f <dump_file> --profile=<profile> pslist- Wyświetla listę procesów.volatility -f <dump_file> --profile=<profile> pstree- Wyświetla drzewo procesów.volatility -f <dump_file> --profile=<profile> psscan- Skanuje procesy w poszukiwaniu ukrytych.
Analiza modułów jądra
volatility -f <dump_file> --profile=<profile> modules- Wyświetla listę załadowanych modułów.volatility -f <dump_file> --profile=<profile> modscan- Skanuje moduły jądra w poszukiwaniu ukrytych.
Analiza sieci
volatility -f <dump_file> --profile=<profile> netscan- Skanuje otwarte porty i połączenia sieciowe.volatility -f <dump_file> --profile=<profile> connscan- Wyświetla listę połączeń sieciowych.
Analiza rejestrów
volatility -f <dump_file> --profile=<profile> hivelist- Wyświetla listę aktywnych plików rejestru.volatility -f <dump_file> --profile=<profile> printkey -o <offset>- Wyświetla zawartość klucza rejestru.
Analiza plików
volatility -f <dump_file> --profile=<profile> filescan- Skanuje otwarte pliki i sterowniki.volatility -f <dump_file> --profile=<profile> dumpfiles -Q <address>- Zapisuje plik z pamięci.
Analiza zrzutu stosu
volatility -f <dump_file> --profile=<profile> stack- Wyświetla stos dla każdego wątku.volatility -f <dump_file> --profile=<profile> stackstrings -f <address>- Wyświetla łańcuchy znaków ze stosu.
Analiza procesów użytkownika
volatility -f <dump_file> --profile=<profile> consoles- Wyświetla aktywne sesje konsoli.volatility -f <dump_file> --profile=<profile> cmdscan- Skanuje pamięć w poszukiwaniu poleceń cmd.exe.
Analiza plików pamięci wirtualnej
volatility -f <dump_file> --profile=<profile> memmap- Wyświetla mapowanie pamięci wirtualnej.volatility -f <dump_file> --profile=<profile> memdump -p <pid> -D <output_directory>- Zapisuje plik pamięci wirtualnej.
Analiza wątków
volatility -f <dump_file> --profile=<profile> threads- Wyświetla listę wątków.volatility -f <dump_file> --profile=<profile> thrdscan- Skanuje wątki w poszukiwaniu ukrytych.
Analiza usług
volatility -f <dump_file> --profile=<profile> svcscan- Wyświetla listę usług.volatility -f <dump_file> --profile=<profile> getservicesids- Wyświetla identyfikatory usług.
Analiza zabezpieczeń
volatility -f <dump_file> --profile=<profile> getsids- Wyświetla identyfikatory zabezpieczeń.volatility -f <dump_file> --profile=<profile> privs- Wyświetla uprawnienia procesów.
Analiza plików rejestru
volatility -f <dump_file> --profile=<profile> printkey -K <key>- Wyświetla zawartość określonego klucza rejestru.volatility -f <dump_file> --profile=<profile> userassist- Wyświetla wpisy UserAssist z rejestru.
Analiza plików minidump
volatility -f <dump_file> --profile=<profile> malfind- Skanuje plik minidump w poszukiwaniu podejrzanych zachowań.volatility -f <dump_file> --profile=<profile> mimikatz- Wyszukuje wrażliwe dane w pamięci.
Analiza plików hibernation
volatility -f <dump_file> --profile=<profile> hibinfo- Wyświetla informacje o pliku hibernation.volatility -f <dump_file> --profile=<profile> hibscan- Skanuje plik hibernation w poszukiwaniu procesów.
Analiza plików pagefile
volatility -f <dump_file> --profile=<profile> pagefileinfo- Wyświetla informacje o pliku pagefile.volatility -f <dump_file> --profile=<profile> pagefilescan- Skanuje plik pagefile w poszukiwaniu procesów.
Analiza plików crash dump
volatility -f <dump_file> --profile=<profile> ldrmodules- Wyświetla listę modułów załadowanych przez proces explorer.exe.volatility -f <dump_file> --profile=<profile> apihooks- Wyświetla hooki API w procesie explorer.exe.
Analiza plików VAD
volatility -f <dump_file> --profile=<profile> vadinfo- Wyświetla informacje o VAD.volatility -f <dump_file> --profile=<profile> vadtree- Wyświetla drzewo VAD.
Analiza plików SSDT
volatility -f <dump_file> --profile=<profile> ssdt- Wyświetla informacje o SSDT.volatility -f <dump_file> --profile=<profile> callbacks- Wyświetla zarejestrowane callbacki SSDT.
Analiza plików GDT
volatility -f <dump_file> --profile=<profile> gdt- Wyświetla informacje o GDT.volatility -f <dump_file> --profile=<profile> idt- Wyświetla informacje o IDT.
Analiza plików LDT
volatility -f <dump_file> --profile=<profile> ldt- Wyświetla informacje o LDT.volatility -f <dump_file> --profile=<profile> dt- Wyświetla informacje o DT.
Analiza plików kernel pool
volatility -f <dump_file> --profile=<profile> poolscanner- Skanuje kernel pool w poszukiwaniu alokacji pamięci.volatility -f <dump_file> --profile=<profile> poolfind -t <tag>- Wyszukuje tagi w kernel pool.
Analiza plików obiektów
volatility -f <dump_file> --profile=<profile> handles- Wyświetla listę uchwytów obiektów.volatility -f <dump_file> --profile=<profile> objscan- Skanuje obiekty w poszukiwaniu ukrytych.
Analiza plików mutex
volatility -f <dump_file> --profile=<profile> mutantscan- Wyświetla listę obiektów mutex.volatility -f <dump_file> --profile=<profile> mutantscan -s- Skanuje obiekty mutex w poszukiwaniu ukrytych.
Analiza plików token
volatility -f <dump_file> --profile=<profile> tokens- Wyświetla listę tokenów.volatility -f <dump_file> --profile=<profile> privs- Wyświetla uprawnienia tokenów.
Analiza plików envars
volatility -f <dump_file> --profile=<profile> envars- Wyświetla listę zmiennych środowiskowych.volatility -f <dump_file> --profile=<profile> getsids- Wyświetla identyfikatory zmiennych środowiskowych.
Analiza plików SSDT
volatility -f <dump_file> --profile=<profile> ssdt- Wyświetla informacje o SSDT.volatility -f <dump_file> --profile=<profile> callbacks- Wyświetla zarejestrowane callbacki SSDT.
Analiza plików GDT
volatility -f <dump_file> --profile=<profile> gdt- Wyświetla informacje o GDT.volatility -f <dump_file> --profile=<profile> idt- Wyświetla informacje o IDT.
Analiza plików LDT
volatility -f <dump_file> --profile=<profile> ldt- Wyświetla informacje o LDT.volatility -f <dump_file> --profile=<profile> dt- Wyświetla informacje o DT.
Analiza plików kernel pool
volatility -f <dump_file> --profile=<profile> poolscanner- Skanuje kernel pool w poszukiwaniu alokacji pamięci.volatility -f <dump_file> --profile=<profile> poolfind -t <tag>- Wyszukuje tagi w kernel pool.
Analiza plików obiektów
volatility -f <dump_file> --profile=<profile> handles- Wyświetla listę uchwytów obiektów.volatility -f <dump_file> --profile=<profile> objscan- Skanuje obiekty w poszukiwaniu ukrytych.
Analiza plików mutex
volatility -f <dump_file> --profile=<profile> mutantscan- Wyświetla listę obiektów mutex.volatility -f <dump_file> --profile=<profile> mutantscan -s- Skanuje obiekty mutex w poszukiwaniu ukrytych.
Analiza plików token
volatility -f <dump_file> --profile=<profile> tokens- Wyświetla listę tokenów.volatility -f <dump_file> --profile=<profile> privs- Wyświetla uprawnienia tokenów.
Analiza plików envars
volatility -f <dump_file> --profile=<profile> envars- Wyświetla listę zmiennych środowiskowych.volatility -f <dump_file> --profile=<profile> getsids- Wyświetla identyfikatory zmiennych środowiskowych.
Sterowniki
Wolatility Cheat Sheet
Basic Commands
Image info:
vol.py -f <memory_dump> imageinfoRunning processes:
vol.py -f <memory_dump> --profile=<profile> pslistDumping a process:
vol.py -f <memory_dump> --profile=<profile> procdump -p <pid> -D <output_directory>File scan:
vol.py -f <memory_dump> --profile=<profile> filescan
Malware Analysis
Malware scan:
vol.py -f <memory_dump> --profile=<profile> malscanYara scan:
vol.py -f <memory_dump> --profile=<profile> yarascan --yara-rules=<rules_file>
Network Analysis
Network connections:
vol.py -f <memory_dump> --profile=<profile> connscanSockets:
vol.py -f <memory_dump> --profile=<profile> socketsPacket capture:
vol.py -f <memory_dump> --profile=<profile> tcpflow
Registry Analysis
Registry hives:
vol.py -f <memory_dump> --profile=<profile> hivelistDumping registry:
vol.py -f <memory_dump> --profile=<profile> printkey -o <output_directory> -K <registry_key>
User Analysis
User accounts:
vol.py -f <memory_dump> --profile=<profile> useraccountsConsole history:
vol.py -f <memory_dump> --profile=<profile> consoles
Timeline Analysis
Timeliner:
vol.py -f <memory_dump> --profile=<profile> timelinerShellbags:
vol.py -f <memory_dump> --profile=<profile> shellbags
Rootkit Detection
Hidden modules:
vol.py -f <memory_dump> --profile=<profile> malfindSSDT:
vol.py -f <memory_dump> --profile=<profile> ssdtDriver modules:
vol.py -f <memory_dump> --profile=<profile> modules
Volatility Plugins
List available plugins:
vol.py --info | grep -i <keyword>Run a specific plugin:
vol.py -f <memory_dump> --profile=<profile> <plugin_name>
Memory Dumping
Full memory dump:
winpmem -o <output_directory>Physical memory dump:
winpmem --output <output_directory> --format raw
Other Useful Commands
API hooks:
vol.py -f <memory_dump> --profile=<profile> apihooksSSDT hooks:
vol.py -f <memory_dump> --profile=<profile> ssdtDriver modules:
vol.py -f <memoryjson_dump> --profile=<profile> modules
Uzyskaj schowek
Pobierz historię przeglądania w IE
Uzyskaj tekst z notatnika
Zrzut ekranu
Master Boot Record (MBR)
Master Boot Record (MBR) odgrywa kluczową rolę w zarządzaniu logicznymi partycjami nośnika danych, które są zorganizowane w różnych systemach plików. MBR nie tylko przechowuje informacje o układzie partycji, ale także zawiera wykonywalny kod pełniący rolę ładowacza rozruchowego. Ten ładowacz rozruchowy albo bezpośrednio inicjuje proces ładowania drugiego etapu systemu operacyjnego (zobacz ładowacz drugiego etapu), albo współpracuje z rekordem rozruchowym woluminu (VBR) każdej partycji. Aby uzyskać dogłębną wiedzę, zapoznaj się z stroną Wikipedii dotyczącą MBR.
Referencje
RootedCON to najważniejsze wydarzenie z zakresu cyberbezpieczeństwa w Hiszpanii i jedno z najważniejszych w Europie. Mając misję promowania wiedzy technicznej, ten kongres stanowi gorące miejsce spotkań dla profesjonalistów technologii i cyberbezpieczeństwa we wszystkich dziedzinach.
Last updated