Volatility - CheatSheet
RootedCON, İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
Eğer hızlı ve çılgın bir şey istiyorsanız ve birkaç Volatility eklentisini aynı anda başlatmak istiyorsanız şunu kullanabilirsiniz: https://github.com/carlospolop/autoVolatility
Kurulum
volatility3
volatility2
Volatility Komutları
Volatility komut referansına resmi belgeden erişin.
"list" ve "scan" eklentileri hakkında not
Volatility'nin iki ana eklenti yaklaşımı vardır ve bazen isimlerinde yansıtılır. "list" eklentileri, işlemler gibi bilgileri almak için Windows Kernel yapıları arasında gezinmeye çalışacaktır (bellekteki _EPROCESS
yapılarının bağlı liste olarak bulunması ve gezilmesi), işletim sistemi kollarını (kol tablosunu bulma ve listeleme, bulunan herhangi bir işaretçiyi çözme vb.). Daha çok, örneğin, işlemleri listelemesi istendiğinde Windows API'nın nasıl davranacağı gibi davranırlar.
Bu, "list" eklentilerini oldukça hızlı yapar, ancak kötü amaçlı yazılımlar tarafından manipülasyona açık olmaları da Windows API kadar savunmasız hale getirir. Örneğin, kötü amaçlı yazılım bir işlemi _EPROCESS
bağlı listesinden ayırmak için DKOM kullanıyorsa, bu işlem Görev Yöneticisinde görünmeyecek ve pslist'te de görünmeyecektir.
Öte yandan, "scan" eklentileri, belirli yapılar olarak çözümlendiğinde anlam ifade edebilecek şeyleri bellekten kazımak gibi bir yaklaşım benimseyecektir. Örneğin, psscan
belleği okuyacak ve ondan _EPROCESS
nesneleri oluşturmaya çalışacaktır (yapıyı arayan 4 baytlık dizeleri arayan havuz etiketi taraması kullanır). Avantajı, çıkmış işlemleri ortaya çıkarabilmesidir ve kötü amaçlı yazılım _EPROCESS
bağlı listesini değiştirirse bile, eklenti hala bellekte bulunan yapıyı bulacaktır (çünkü işlemin çalışması için hala var olması gerekir). Dezavantajı ise "scan" eklentilerinin "list" eklentilerinden biraz daha yavaş olmaları ve bazen yanlış pozitif sonuçlar verebilmeleridir (çok uzun süre önce çıkmış bir işlem ve yapısının diğer işlemler tarafından üzerine yazılması).
Kaynak: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/
İşletim Sistemi Profilleri
Volatility3
Readme içinde açıklandığı gibi, desteklemek istediğiniz işletim sisteminin sembol tablosunu volatility3/volatility/symbols içine koymalısınız. Çeşitli işletim sistemleri için sembol tablo paketleri indirme için mevcuttur:
Volatility2
Harici Profil
Desteklenen profillerin listesini almak için şunu yapabilirsiniz:
Eğer indirdiğiniz yeni bir profil (örneğin bir linux profil) kullanmak istiyorsanız, aşağıdaki klasör yapısını oluşturmanız gerekmektedir: plugins/overlays/linux ve bu klasörün içine profil içeren zip dosyasını yerleştirmeniz gerekmektedir. Daha sonra, profil sayısını aşağıdaki komutu kullanarak alabilirsiniz:
Linux ve Mac profillerini https://github.com/volatilityfoundation/profiles adresinden indirebilirsiniz.
Önceki parçada profilin adının LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64
olduğunu görebilirsiniz ve bunu şu şekilde kullanabilirsiniz:
Profil Keşfi
imageinfo ve kdbgscan arasındaki farklar
Buradan: Basitçe profil önerileri sunan imageinfo'nun aksine, kdbgscan doğru profili ve doğru KDBG adresini (birden fazla varsa) pozitif olarak tanımlamak üzere tasarlanmıştır. Bu eklenti, Volatility profilleriyle ilişkilendirilmiş KDBGHeader imzalarını tarar ve yanlış pozitifleri azaltmak için sağlamlık kontrolleri uygular. Çıktının ayrıntısı ve yapılabilen sağlamlık kontrolleri sayısı, Volatility'nin bir DTB bulup bulamadığına bağlıdır, bu nedenle doğru profili zaten biliyorsanız (veya imageinfo'dan bir profil önerisi varsa), onu kullanmaktan emin olun.
Her zaman kdbgscan'ın bulduğu işlem sayısına bakın. Bazen imageinfo ve kdbgscan, birden fazla uygun profil bulabilir, ancak yalnızca geçerli olanın bazı işlemlerle ilgili olacağını bulacaktır (Bu, işlemleri çıkarmak için doğru KDBG adresinin gerekliliğinden kaynaklanmaktadır)
KDBG
Çekirdek hata ayıklayıcı bloğu, Volatility tarafından KDBG olarak adlandırılan, Volatility ve çeşitli hata ayıklayıcılar tarafından gerçekleştirilen adli görevler için hayati öneme sahiptir. _KDDEBUGGER_DATA64
türünde olan ve KdDebuggerDataBlock
olarak tanımlanan bu blok, PsActiveProcessHead
gibi temel referansları içerir. Bu belirli referans, işlem listesinin başına işaret eder ve tüm işlemlerin listelenmesini sağlar; bu da kapsamlı bellek analizi için temel bir adımdır.
İşletim Sistemi Bilgileri
Plugin banners.Banners
, vol3 içinde dump dosyasında linux banners bulmaya çalışmak için kullanılabilir.
Hashlar/Parolalar
SAM hash'lerini, domain cached credentials ve lsa secrets çıkarın.
Volatility Cheat Sheet
Basic Commands
Image Identification
volatility -f <memory_dump> imageinfo
Listing Processes
volatility -f <memory_dump> --profile=<profile> pslist
Dumping a Process
volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
Listing Network Connections
volatility -f <memory_dump> --profile=<profile> connections
Dumping Registry
volatility -f <memory_dump> --profile=<profile> printkey -o <offset>
Extracting Files
volatility -f <memory_dump> --profile=<profile> filescan | grep -i <file_extension>
Advanced Commands
Detecting Hidden Processes
volatility -f <memory_dump> --profile=<profile> psxview
Analyzing DLLs
volatility -f <memory_dump> --profile=<profile> dlllist -p <pid>
Identifying Sockets
volatility -f <memory_dump> --profile=<profile> sockscan
Analyzing Drivers
volatility -f <memory_dump> --profile=<profile> driverscan
Identifying Mutants
volatility -f <memory_dump> --profile=<profile> mutantscan
Analyzing Timelining
volatility -f <memory_dump> --profile=<profile> timeliner
Analyzing PSScan
volatility -f <memory_dump> --profile=<profile> psscan
Analyzing LDRModules
volatility -f <memory_dump> --profile=<profile> ldrmodules
Analyzing API Hooks
volatility -f <memory_dump> --profile=<profile> apihooks
Analyzing SSDT
volatility -f <memory_dump> --profile=<profile> ssdt
Analyzing GDT
volatility -f <memory_dump> --profile=<profile> gdt
Analyzing IDT
volatility -f <memory_dump> --profile=<profile> idt
Analyzing CSRSS
volatility -f <memory_dump> --profile=<profile> csrss
Analyzing Malware
volatility -f <memory_dump> --profile=<profile> malfind
Analyzing Yara Rules
volatility -f <memory_dump> --profile=<profile> yarascan
Analyzing API Audit
volatility -f <memory_dump> --profile=<profile> apihooks
Analyzing Handles
volatility -f <memory_dump> --profile=<profile> handles
Analyzing Vad
volatility -f <memory_dump> --profile=<profile> vad
Analyzing MBR
volatility -f <memory_dump> --profile=<profile> mbrparser
Analyzing User Handles
volatility -f <memory_dump> --profile=<profile> userhandles
Analyzing User Sessions
volatility -f <memory_dump> --profile=<profile> users
Analyzing Registry Hives
volatility -f <memory_dump> --profile=<profile> hivelist
Analyzing Registry Keys
volatility -f <memory_dump> --profile=<profile> printkey -K <key>
AnalyAnalyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volvolatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyizing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyizing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyizing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyizing Cached Credentials
volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
volatility -f <memory_dump> --profile=<profile> hashdump
Analyizing LSA Cache
volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyizing LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyizing Cached Credentials
`volatility -f <
Bellek Dökümü
Bir işlemin bellek dökümü, işlemin mevcut durumunun her şeyini çıkaracaktır. Procdump modülü yalnızca kodu çıkaracaktır.
RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
Süreçler
Süreçleri Listele
Şüpheli süreçleri (adına göre) veya beklenmedik alt süreçleri (örneğin iexplorer.exe'nin bir alt süreci olarak cmd.exe) bulmaya çalışın. Gizli süreçleri tanımlamak için pslist sonucunu psscan sonucuyla karşılaştırmak ilginç olabilir.
Bu hafıza görüntüsü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve bunların kullanım örneklerini içerir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında sıkça karşılaşılan senaryoları ele alır ve bu senaryoları çözmek için Volatility'nin nasıl kullanılacağını açıklar. Bu hile yaprağı, hafıza görüntüsü analizi sırasında karşılaşılan sorunları çözmek için bir başvuru kaynağı olarak kullanılabilir.
Dump proc
Volatility Hile Kağıdı
Volatility Komutları
volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak Volatility komutlarını çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Belirli bir işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName connscan: Ağ bağlantılarını tarama yapar.
volatility -f dump.dmp --profile=ProfileName malfind: Hafıza alanında kötü amaçlı yazılım tespiti yapar.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Bir işlemin yüklenen DLL'lerini listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump: Bir işlemi belleğe döker.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump: Bir işlem belleğini döker.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Bir işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives'ı listeler.
volatility -f dump.dmp --profile=ProfileName printkey -o hiveoffset -K key: Registry anahtarını görüntüler.
volatility -f dump.dmp --profile=ProfileName hashdump: Parola karmalarını çözer.
volatility -f dump.dmp --profile=ProfileName userassist: UserAssist verilerini görüntüler.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini görüntüler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.dmp --profile=ProfileName getservicesids: Servis SID'lerini alır.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarama yapar.
volatility -f dump.dmp --profile=ProfileName moddump -b base -D /path/to/dump: Bir kernel modülünü döker.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü IRP'lerini listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT'yi listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT'yi listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT'yi listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutant nesnelerini tarama yapar.
volatility -f dump.dmp --profile=ProfileName mutantscan -s: Mutant nesnelerini tarama yapar ve sahiplerini gösterir.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu tarama yapar.
volatility -f dump.dmp --profile=ProfileName atomscan -t: Atom tablosunu tarama yapar ve sahiplerini gösterir.
volatility -f dump.dmp --profile=ProfileName vadinfo -p PID: Bir işlemin VAD bilgilerini görüntüler.
volvolatility -f dump.dmp --profile=ProfileName vadtree -p PID: Bir işlemin VAD ağacını görüntüler.
volatility -f dump.dmp --profile=ProfileName vadwalk -p PID -r VADAddress: Bir işlemin VAD ağacını yürütür.
volatility -f dump.dmp --profile=ProfileName dlldump -b base -D /path/to/dump: Bir DLL'yi döker.
volatility -f dump.dmp --profile=ProfileName dlldump -p PID -b base -D /path/to/dump: Bir işlemdeki bir DLL'yi döker.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -D /path/to/dump: Belirli bir bellek aralığını döker.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -n -D /path/to/dump: Belirli bir bellek aralığını döker ve dosya adlarını numaralandırır.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -n -s -D /path/to/dump: Belirli bir bellek aralığını döker, dosya adlarını numaralandırır ve dosya adlarını sahip süreçlerle birlikte gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -D /path/to/dump: Registry anahtarını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -D /path/to/dump: Registry anahtarını döker ve alt anahtarları gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir ve değerleri gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir ve veri türlerini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir ve veri boyutlarını gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir ve veri içeriğini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir ve ASCII olarak değerleri gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir ve Unicode olarak değerleri gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir ve belirli bir anahtarın alt anahtarlarını gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir ve değerlerin yorumlanmış sürümlerini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir ve değerlerin JSON biçiminde gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin tarih ve saat biçiminde gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -z -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin tarih ve saat biçiminde gösterir ve değerlerin sıkıştırılmış sürümlerini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -z -c -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin tarih ve saat biçiminde gösterir ve değerlerin sıkıştırılmış sürümlerini gösterir ve değerlerin sıkıştırılmış sürümlerini çözer.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -z -c -e -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin tarih ve saat biçiminde gösterir ve değerlerin sıkıştırılmış sürümlerini gösterir ve değerlerin sıkıştırılmış sürümlerini çözer ve değerlerin şifrelenmiş sürümlerini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -z -c -e -m -D /path/to/dump: Registry anahtarını döker,
Komut satırı
Herhangi şüpheli bir şekilde çalıştırıldı mı?
Bu hafıza dökümü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içerir. Bu hile yaprağı, hafıza dökümü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir.
Komutlar cmd.exe
içinde çalıştırılır ve conhost.exe
tarafından yönetilir (veya Windows 7'den önceki sistemlerde csrss.exe
). Bu, eğer bir saldırgan bir bellek dökümü alınmadan önce cmd.exe
'yi sonlandırırsa, oturumun komut geçmişinin hala conhost.exe
'nin belleğinden kurtarılabilir olduğu anlamına gelir. Bu işlemi yapmak için, konsol modüllerinde olağandışı aktivite tespit edilirse, ilişkili conhost.exe
işleminin belleği dökülmelidir. Ardından, bu döküm içindeki dizgileri arayarak, oturumda kullanılan komut satırları potansiyel olarak çıkarılabilir.
Çevre
Her çalışan işlemin ortam değişkenlerini alın. İlginç değerler olabilir.
Basit Adli Bilişim Metodolojisi
Hafıza Dökümü Analizi
Volatility Cheat Sheet
Volatility, hafıza dökümlerini analiz etmek için kullanılan bir araçtır.
Hafıza döküm analizi, kötü amaçlı yazılım tespiti ve dijital delil toplama süreçlerinde önemli bir adımdır.
Volatility, Windows, Linux ve macOS işletim sistemlerinde kullanılabilir.
Hafıza döküm analizi yaparken, Volatility aracı çeşitli komutlarla kullanılarak sistemde çalışan işlemler, ağ bağlantıları, kayıtlar ve diğer önemli bilgiler elde edilebilir.
Volatility Cheat Sheet, Volatility aracının sık kullanılan komutlarını ve bunların ne işe yaradığını içerir.
Bu hile yaprağı, hafıza döküm analizi sırasında kullanılabilecek temel komutları ve bunların nasıl kullanılacağını açıklar.
Token ayrıcalıkları
Beklenmeyen hizmetlerde ayrıcalıklı tokenları kontrol edin. Bazı ayrıcalıklı token kullanan işlemleri listelemek ilginç olabilir.
Volatility Hile Kağıdı
Volatility Komutları
volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName psscan: Gizli işlemleri tespit eder.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Bir işlemin yüklenen DLL'lerini listeler.
volatility -f dump.dmp --profile=ProfileName filescan: Açık dosyaları tespit eder.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Bir işlemin komut satırı argümanlarını gösterir.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName timeliner: Zaman çizelgesi oluşturur.
volatility -f dump.dmp --profile=ProfileName malfind: Şüpheli bellek bölümlerini tespit eder.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q 0xADDRESS -D /path/to/dumpdir/: Belirli bir bellek adresindeki dosyaları çıkarır.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dumpdir/: Bir işlemin belleğini çıkarır.
volatility -f dump.dmp --profile=ProfileName linux_bash: Linux bash geçmişini gösterir.
volatility -f dump.dmp --profile=ProfileName linux_netstat: Linux ağ bağlantılarını listeler.
Volatility Profil Listesi
WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2003SP0x86
Win2003SP1x86
Win2003SP2x86
Win2003SP1x64
Win2003SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win81U1x86
Win81U1x64
Win10x64
Win2016x64
Win2019x64
Win10x64_14393
Win10x64_15063
Win10x64_16299
Win10x64_17134
Win10x64_17763
Win10x64_18362
Win10x64_18363
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
SIDs
Her bir işlem tarafından sahip olunan her SSID'yi kontrol edin. Bir ayrıcalıklar SID kullanan işlemleri ve bazı hizmet SIDs kullanan işlemleri listelemek ilginç olabilir.
Volatility Cheat Sheet
Basic Commands
Image Identification
volatility -f <memory_dump> imageinfo
Listing Processes
volatility -f <memory_dump> --profile=<profile> pslist
Dumping a Process
volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
Listing Network Connections
volatility -f <memory_dump> --profile=<profile> connections
Dumping Registry Hives
volatility -f <memory_dump> --profile=<profile> hivelist
Dumping a Registry Hive
voljsonity -f <memory_dump> --profile=<profile> printkey -o <output_directory> -K <hive_offset>
Advanced Commands
Analyzing Malware
volatility -f <memory_dump> --profile=<profile> malfind
Extracting DLLs
volatility -f <memory_dump> --profile=<profile> dlldump -D <output_directory>
Analyzing Drivers
volatility -f <memory_dump> --profile=<profile> driverscan
Identifying Hidden Processes
volatility -f <memory_dump> --profile=<profile> psxview
Analyzing Timelining
volatility -f <memory_dump> --profile=<profile> timeliner
Dumping LSA Secrets
volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Packed Binaries
volatility -f <memory_dump> --profile=<profile> mpparser
Analyzing TrueCrypt Keys
volatility -f <memory_dump> --profile=<profile> truecryptmaster
Analyzing BitLocker Keys
volatility -f <memory_dump> --profile=<profile> bitlockermemorydump
Analyzing Process Memory
volatility -f <memory_dump> --profile=<profile> memmap
Analyzing User Sessions
volatility -f <memory_dump> --profile=<profile> sessions
Analyzing Command History
volatility -f <memory_dump> --profile=<profile> cmdscan
Analyzing Shellbags
volatility -f <memory_dump> --profile=<profile> shellbags
Analyzing User Accounts
volatility -f <memory_dump> --profile=<profile> userassist
Analyzing Network Artifacts
volatility -f <memory_dump> --profile=<profile> netscan
Analyzing Autoruns
volatility -f <memory_dump> --profile=<profile> autoruns
Analyzing Services
volatility -f <memory_dump> --profile=<profile> svcscan
Analyzing Mutants
volatility -f <memory_dump> --profile=<profile> mutantscan
Analyzing Handles
volatility -f <memory_dump> --profile=<profile> handles
Analyzing Registry
volatility -f <memory_dump> --profile=<profile> printkey -o <output_directory> -K <registry_key>
Analyizing PEB
volatility -f <memory_dump> --profile=<profile> psscan
Analyzing VAD
volatility -f <memory_dump> --profile=<profile> vadinfo
Analyzing SSDT
volatility -f <memory_dump> --profile=<profile> ssdt
Analyzing GDT
volatility -f <memory_dump> --profile=<profile> gdt
Analyzing IDT
volatility -f <memory_dump> --profile=<profile> idt
Analyzing Kernel Modules
volatility -f <memory_dump> --profile=<profile> modscan
Analyzing Kernel Callbacks
volatility -f <memory_dump> --profile=<profile> callbacks
Analyzing SSDT Hooks
volatility -f <memory_dump> --profile=<profile> ssdt
Analyzing IRP Hooks
volatility -f <memory_dump> --profile=<profile> irp
Analyzing Driver Modules
volatility -f <memory_dump> --profile=<profile> moddump -D <output_directory>
AnalyAnalyzingzing Driver IRP
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Imports
volatility -f <memory_dump> --profile=<profile> drivermodule
Analyzing Driver Sections
volatility -f <memory_dump> --profile=<profile> driverscan
Analyzing Driver Handles
volatility -f <memory_dump> --profile=<profile> driverhandles
Analyzing Driver Devicetree
volatility -f <memory_dump> --profile=<profile> devicetree
Analyzing Driver Dispatchers
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Fast I/O
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Services
volatility -f <memory_dump> --profile=<profile> driverscan
Analyzing Driver Timers
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Ports
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Alpc Ports
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver WMI
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Path
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Key
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Value
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
volatility -f <memory_dump> --profile=<profile> driverirp
Kollar
Bir işlemin açtığı diğer dosyalara, anahtarlara, iş parçacıklarına, işlemlere... hangilerine sahip olduğunu bilmek için kullanışlıdır.
Bu hafıza görüntüsü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve bunların kullanım örneklerini içerir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak
DLL'ler
Volatility Cheat Sheet
Basic Commands
Image Identification
volatility -f <memory_dump> imageinfo
Listing Processes
volatility -f <memory_dump> --profile=<profile> pslist
Dumping a Process
volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
Listing DLLs
volatility -f <memory_dump> --profile=<profile> dlllist -p <pid>
Dumping a DLL
volatility -f <memory_dump> --profile=<profile> dlldump -p <pid> -D <output_directory>
Listing Sockets
voljson -f <memory_dump> --profile=<profile> sockets
Network Connections
volatility -f <memory_dump> --profile=<profile> connections
Registry Analysis
volatility -f <memory_dump> --profile=<profile> hivelist
Dumping Registry Hive json
volatility -f <memory_dump> --profile=<profile> printkey -o <offset>
File Analysis
volatility -f <memory_dump> --profile=<profile> filescan
Dumping a File
volatility -f <memory_dump> --profile=<profile> dumpfiles -Q <address_range> -D <output_directory>
Kernel Modules
volatility -f <memory_dump> --profile=<profile> modscan
Driver Modules
volatility -f <memory_dump> --profile=<profile> driverscan
Process Environment Variables
volatility -f <memory_dump> --profile=<profile> envars -p <pid>
Command History
volatility -f <memory_dump> --profile=<profile> cmdscan
User Accounts
volatility -f <memory_dump> --profile=<profile> getsids
User Account Passwords
volatility -f <memory_dump> --profile=<profile> hashdump
Screenshots
volatility -f <memory_dump> --profile=<profile> screenshot -D <output_directory>
Yara Scanning
volatility -f <memory_dump> --profile=<profile> yarascan --yara-file=<rules_file>
API Hooks
volatility -f <memory_dump> --profile=<profile> apihooks
Detecting Hidden Processes
volatility -f <memory_dump> --profile=<profile> psxview
Detecting Hidden Drivers
volatility -f <memory_dump> --profile=<profile> ldrmodules
Detecting Hidden Objects
volatility -f <memory_dump> --profile=<profile> hiddeneval
Detecting Rootkits
volatility -f <memory_dump> --profile=<profile> rootkit
Detecting In-Memory Malware
volatility -f <memory_dump> --profile=<profile> malfind
Detecting In-Memory Injection
volatility -f <memory_dump> --profile=<profile> malfind -p <pid>
Detecting In-Memory Strings
volatility -f <memory_dump> --profile=<profile> strings
Detecting In-Memory Code
volatility -f <memory_dump> --profile=<profile> mss
Detecting In-Memory Modules
volatility -f <memory_dump> --profile=<profile> moddump -D <output_directory>
Detecting In-Memory Malicious Processes
volatility -f <memory_dump> --profile=<profile> malfind
Detecting In-Memory Malicious Drivers
volatility -f <memory_dump> --profile=<profile> malfind --d
Detecting In-Memory Malicious Modules
volatility -f <memory_dump> --profile=<profile> malfind --m
Detecting In-Memory Malicious Strings
volatility -f <memory_dump> --profile=<profile> malfind --s
Detecting In-Memory Malicious Code
volatility -f <memory_dump> --profile=<profile> malfind --c
Detecting In-Memory Malicious Processes with Yara
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file>
Detecting In-Memory Malicious Processes with Yara Rules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --p
Detecting In-Memory Malicious Drivers with Yara Rules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --d
Detecting In-Memory Malicious Modules with Yara Rules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --m
Detecting In-Memory Malicious Strings with Yara Rules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --s
Detecting In-Memory Malicious Code with Yara Rules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --c
Detecting In-Memory Malicious Processes with Yara Rules and PID
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid>
Detecting In-Memory Malicious Processes with Yara Rules and Output Directory
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -D <output_directory>
Detecting In-Memory Malicious Processes with Yara Rules, PID, and Output Directory
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory>
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, and Dumping Files
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory>
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, and Strings
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, and API Hooks
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <outputjson_directory> --dump-dir=<dump_directory> --strings --apihooks
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, and Screenshot
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, and Network Connections
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, and Registry Analysis
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, and Kernel Modules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, and Driver Modules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, and Process Environment Variables
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, and Command History
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, and User Accounts
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, and User Account Passwords
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, and Screenshots
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, and Yara Scanning
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, and API Hooks
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, and Screenshots
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, and Yara Scanning
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot --yarascan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, Yara Scanning, and Kernel Modules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot --yarascan --modscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, Yara Scanning, Kernel Modules, and Driver Modules
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot --yarascan --modscan --driverscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, Yara Scanning, Kernel Modules, Driver Modules, and Process Environment Variables
volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot --yarascan --modscan --driverscan --envars
**Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, Yara Sc
Süreçlere Göre Dizgiler
Volatility, bir dizgenin hangi sürece ait olduğunu kontrol etmemize olanak tanır.
Basit Adli Bilişim Metodolojisi
Hafıza Dökümü Analizi
Volatility Cheat Sheet
Volatility, hafıza dökümlerini analiz etmek için kullanılan bir araçtır.
Hafıza döküm analizi, kötü amaçlı yazılım tespiti ve dijital adli bilişim incelemelerinde önemli bir rol oynar.
Volatility, Windows, Linux ve macOS işletim sistemlerinde kullanılabilir.
Hafıza döküm analizi yaparken, Volatility aracı çeşitli komutlarla kullanılır.
Volatility aracının kullanımı, hafıza döküm analizinde hızlı ve etkili sonuçlar elde etmek için önemlidir.
Ayrıca, yarascan modülünü kullanarak bir işlem içinde dize aramaya izin verir:
Volatility Cheat Sheet
Basic Commands
Image Identification
volatility -f <memory_dump> imageinfo
Listing Processes
volatility -f <memory_dump> --profile=<profile> pslist
Dumping a Process
volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
Listing DLLs
volatility -f <memory_dump> --profile=<profile> dlllist -p <pid>
Listing Sockets
volvolatility -f <memory_dump> --profile=<profile> sockscan
Network Connections
volatility -f <memory_dump> --profile=<profile> connections
Registry Analysis
volatility -f <memory_dump> --profile=<profile> hivelist
Dumping Registry Hive
volatility -f <memory_dump> --profile=<profile> printkey -o <offset>
Dumping Files
volatility -f <memory_dump> --profile=<profile> filescan
Dumping a File
volatility -f <memory_dump> --profile=<profile> dumpfiles -Q <physical_offset> -D <output_directory>
Checking for Rootkits
volatility -f <memory_dump> --profile=<profile> malfind
Analyzing Malware
volatility -f <memory_dump> --profile=<profile> malsysproc
Extracting Malicious Executables
volatility -f <memory_dump> --profile=<profile> procdump -p <pid> -D <output_directory>
Analyzing Drivers
volatility -f <memory_dump> --profile=<profile> driverscan
Analyzing SSDT
volatility -f <memory_dump> --profile=<profile> ssdt
Analyzing IDT
volatility -f <memory_dump> --profile=<profile> idt
Analyzing GDT
volatility -f <memory_dump> --profile=<profile> gdt
Analyzing LDT
volatility -f <memory_dump> --profile=<profile> ldt
Analyzing Kernel Modules
volatility -f <memory_dump> --profile=<profile> modscan
Analyizing Mutants
volatility -f <memory_dump> --profile=<profile> mutantscan
Analyzing API Hooks
volatility -f <memory_dump> --profile=<profile> apihooks
Analyzing SSDT Hooks
volvolatility -f <memory_dump> --profile=<profile> ssdt
Analyzing IRP Hooks
volatility -f <memory_dump> --profile=<profile> irp
Analyzing Timelining
volatility -f <memory_dump> --profile=<profile> timeliner
Analyzing PSScan
volatility -f <memory_dump> --profile=<profile> psscan
Analyzing Yara Rules
volatility -f <memory_dump> --profile=<profile> yarascan
Analyzing API Audit
volatility -f <memory_dump> --profile=<profile> apihooks
Analyzing Handles
volatility -f <memory_dump> --profile=<profile> handles
Analyzing Privileges
volatility -f <memory_dump> --profile=<profile> privs
Analyzing User Information
volatility -f <memory_dump> --profile=<profile> getsids
Analyzing User Credentials
volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing User Tokens
volatility -f <memory_dump> --profile=<profile> tokens
Analyzing User Sessions
volatility -f <memory_dump> --profile=<profile> sessions
Analyzing User Profiles
volatility -f <memory_dump> --profile=<profile> userassist
Analyzing Clipboard
volatility -f <memory_dump> --profile=<profile> clipboard
Analyzing Shellbags
volatility -f <memory_dump> --profile=<profile> shellbags
Analyzing TrueCrypt Keys
volatility -f <memory_dump> --profile=<profile> truecryptmaster
Analyzing BitLocker Keys
volatility -f <memory_dump> --profile=<profile> bitlockermaster
Analyzing LUKS Keys
volatility -f <memory_dump> --profile=<profile> luksmeta
Analyzing VeraCrypt Keys
volatility -f <memory_dump> --profile=<profile> veracryptmaster
Analyzing Chrome History
volatility -f <memory_dump> --profile=<profile> chromehistory
Analyzing Firefox History
volatility -f <memory_dump> --profile=<profile> firefoxhistory
Analyzing IE History
volatility -f <memory_dump> --profile=<profile> iehistory
Analyzing Outlook Mail
volatility -f <memory_dump> --profile=<profile> outlook
Analyzing Thunderbird Mail
volatility -f <memory_dump> --profile=<profile> thunderbird
Analyzing Skype Messages
volatility -f <memory_dump> --profile=<profile> skype
Analyzing Slack Messages
volatility -f <memory_dump> --profile=<profile> slack
Analyzing Telegram Messages
volatility -f <memory_dump> --profile=<profile> telegram
Analyzing WhatsApp Messages
volatility -f <memory_dump> --profile=<profile> whatsapp
Analyzing Signal Messages
volatility -f <memory_dump> --profile=<profile> signal
Analyzing Discord Messages
volatility -f <memory_dump> --profile=<profile> discord
Analyzing TeamViewer Artifacts
volatility -f <memory_dump> --profile=<profile> teamviewer
Analyzing RDP Artifacts
volatility -f <memory_dump> --profile=<profile> rdp
Analyzing Putty Artifacts
volatility -f <memory_dump> --profile=<profile> putty
Analyzing VNC Artifacts
volatility -f <memory_dump> --profile=<profile> vnc
Analyzing WinSCP Artifacts
volatility -f <memory_dump> --profile=<profile> winscp
Analyzing FileZilla Artifacts
volatility -f <memory_dump> --profile=<profile> filezilla
Analyzing Cyberduck Artifacts
volatility -f <memory_dump> --profile=<profile> cyberduck
Analyzing CyberGhost Artifacts
volatility -f <memory_dump> --profile=<profile> cyberghost
Analyzing NordVPN Artifacts
volatility -f <memory_dump> --profile=<profile> nordvpn
Analyzing OpenVPN Artifacts
volatility -f <memory_dump> --profile=<profile> openvpn
Analyzing ProtonVPN Artifacts
volatility -f <memory_dump> --profile=<profile> protonvpn
Analyzing TunnelBear Artifacts
volatility -f <memory_dump> --profile=<profile> tunnelbear
Analyzing Wireshark Artifacts
volatility -f <memory_dump> --profile=<profile> wireshark
Analyzing Network Miner Artifacts
volatility -f <memory_dump> --profile=<profile> networkminer
Analyzing Maltego Artifacts
volatility -f <memory_dump> --profile=<profile> maltego
Analyzing Metasploit Artifacts
volatility -f <memory_dump> --profile=<profile> metasploit
Analyzing Nmap Artifacts
volatility -f <memory_dump> --profile=<profile> nmap
Analyzing Burp Suite Artifacts
volatility -f <memory_dump> --profile=<profile> burpsuite
Analyzing Nessus Artifacts
volatility -f <memory_dump> --profile=<profile> nessus
Analyzing Acunetix Artifacts
volatility -f <memory_dump> --profile=<profile> acunetix
Analyzing Nikto Artifacts
volatility -f <memory_dump> --profile=<profile> nikto
Analyzing OpenVAS Artifacts
volatility -f <memory_dump> --profile=<profile> openvas
Analyzing Qualys Artifacts
volatility -f <memory_dump> --profile=<profile> qualys
Analyzing Shodan Artifacts
volatility -f <memory_dump> --profile=<profile> shodan
Analyzing VirusTotal Artifacts
volatility -f <memory_dump> --profile=<profile> virustotal
Analyzing Cuckoo Sandbox Artifacts
volatility -f <memory_dump> --profile=<profile> cuckoo
Analyzing Hybrid Analysis Artifacts
volatility -f <memory_dump> --profile=<profile> hybridanalysis
Analyzing Joe Sandbox Artifacts
volatility -f <memory_dump> --profile=<profile> joesandbox
Analyzing Any.Run Artifacts
volatility -f <memory_dump> --profile=<profile> anyrun
Analyzing Falcon Sandbox Artifacts
volatility -f <memory_dump> --profile=<profile> falconsandbox
Analyzing ThreatConnect Artifacts
volatility -f <memory_dump> --profile=<profile> threatconnect
Analyzing ThreatStream Artifacts
volatility -f <memory_dump> --profile=<profile> threatstream
Analyzing AlienVault Artifacts
volatility -f <memory_dump> --profile=<profile> alienvault
Analyzing Anomali Artifacts
volatility -f <memory_dump> --profile=<profile> anomali
Analyzing Recorded Future Artifacts
volatility -f <memory_dump> --profile=<profile> recordedfuture
Analyzing VirusShare Artifacts
volatility -f <memory_dump> --profile=<profile> virusshare
Analyzing MalwareBazaar Artifacts
volatility -f <memory_dump> --profile=<profile> malwarebazaar
Analyzing Malware-Traffic-Analysis Artifacts
volatility -f <memory_dump> --profile=<profile> malwaretrafficanalysis
Analyzing Malware-Config Artifacts
volatility -f <memory_dump> --profile=<profile> malwareconfig
Analyzing Malware-Hash Artifacts
volatility -f <memory_dump> --profile=<profile> malwarehash
Analyzing Malware-IOC Artifacts
volatility -f <memory_dump> --profile=<profile> malwareioc
Analyzing Malware-PCAP Artifacts
volatility -f <memory_dump> --profile=<profile> malwarepcap
Analyzing Malware-Static-Analysis Artifacts
volatility -f <memory_dump> --profile=<profile> malwarestaticanalysis
Analyzing Malware-Dynamic-Analysis Artifacts
volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysis
Analyzing Malware-Sandbox-Analysis Artifacts
volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysis
Analyzing Malware-Yara-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareyararules
Analyzing Malware-IOC-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareiocrules
Analyzing Malware-Hash-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarehashrules
Analyzing Malware-PCAP-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarepcaprules
Analyzing Malware-Static-Analysis-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrules
Analyzing Malware-Dynamic-Analysis-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrules
Analyzing Malware-Sandbox-Analysis-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysisrules
Analyzing Malware-Yara-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareyararulesrules
Analyzing Malware-IOC-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareiocrulesrules
Analyzing Malware-Hash-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarehashrulesrules
Analyzing Malware-PCAP-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarepcaprulesrules
Analyzing Malware-Static-Analysis-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrulesrules
Analyzing Malware-Dynamic-Analysis-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrulesrules
Analyzing Malware-Sandbox-Analysis-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysisrulesrules
Analyzing Malware-Yara-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareyararulesrulesrules
Analyzing Malware-IOC-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareiocrulesrulesrules
Analyzing Malware-Hash-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarehashrulesrulesrules
Analyzing Malware-PCAP-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarepcaprulesrulesrules
Analyzing Malware-Static-Analysis-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrulesrulesrules
Analyzing Malware-Dynamic-Analysis-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrulesrulesrules
Analyzing Malware-Sandbox-Analysis-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysisrulesrulesrules
Analyzing Malware-Yara-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareyararulesrulesrulesrules
Analyzing Malware-IOC-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareiocrulesrulesrulesrules
Analyzing Malware-Hash-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarehashrulesrulesrulesrules
Analyzing Malware-PCAP-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarepcaprulesrulesrulesrules
Analyzing Malware-Static-Analysis-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrulesrulesrulesrules
Analyzing Malware-Dynamic-Analysis-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrulesrulesrulesrules
Analyzing Malware-Sandbox-Analysis-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysisrulesrulesrulesrules
Analyzing Malware-Yara-Rules-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareyararulesrulesrulesrulesrules
Analyzing Malware-IOC-Rules-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwareiocrulesrulesrulesrulesrules
Analyzing Malware-Hash-Rules-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarehashrulesrulesrulesrulesrules
Analyzing Malware-PCAP-Rules-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarepcaprulesrulesrulesrulesrules
Analyzing Malware-Static-Analysis-Rules-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrulesrulesrulesrulesrules
Analyzing Malware-Dynamic-Analysis-Rules-Rules-Rules-Rules-Rules Artifacts
volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrulesrulesrulesrulesrules
UserAssist
Windows, çalıştırdığınız programları UserAssist anahtarları adı verilen bir kayıt özelliğini kullanarak takip eder. Bu anahtarlar her programın kaç kez çalıştırıldığını ve ne zaman en son çalıştırıldığını kaydeder.
Volatility Hile Kağıdı
Volatility Hile Kağıdı
Temel Kullanım
Volatility'yi çalıştırın:
volatility -f memory_dump.raw <command>
Yardım alın:
volatility --help
Profil belirtin:
volatility --info | grep Profile
Komutlar listesi:
volatility --info | grep -i <plugin>
Komut sonuçlarını kaydedin:
volatility -f memory_dump.raw <command> > output.txt
Süreçler
Süreçleri listele:
volatility -f memory_dump.raw pslist
Süreç ayrıntıları:
volatility -f memory_dump.raw pstree -p <PID>
Süreç bellek haritası:
volatility -f memory_dump.raw vad -p <PID>
Süreç bellek dump:
volatility -f memory_dump.raw procdump -p <PID> -D <output_directory>
Ağ
Ağ bağlantılarını listele:
volatility -f memory_dump.raw netscan
Ağ bağlantıları ayrıntıları:
volatility -f memory_dump.raw connscan
Dosya Sistemleri
Dosya sistemi ayrıntıları:
volatility -f memory_dump.raw filescan
Dosya sistemi ayrıntıları (rekürsif):
volatility -f memory_dump.raw filescan -R
Dosya sistemi dosya ayrıntıları:
volatility -f memory_dump.raw filescan | grep -i <file_extension>
Dosya sistemi dosya indirme:
volatility -f memory_dump.raw dumpfiles -Q <physical_offset> -D <output_directory>
Kayıt Defteri
Kayıt defteri hives listesi:
volatility -f memory_dump.raw hivelist
Kayıt defteri ayrıntıları:
volatility -f memory_dump.raw printkey -o <offset>
Kayıt defteri değerleri:
volatility -f memory_dump.raw printkey -o <offset> -K <key_name>
Kullanıcılar ve Oturumlar
Kullanıcı hesapları:
volatility -f memory_dump.raw hivelist | grep -i sam
Kullanıcı parolaları:
volatility -f memory_dump.raw hashdump -y <hive_offset> -s <system_offset> -o <sam_offset>
Diğer Kullanışlı Komutlar
DLL listesi:
volatility -f memory_dump.raw dlllist -p <PID>
Rekürsif DLL listesi:
volatility -f memory_dump.raw dlllist -p <PID> -r
SSDT:
volatility -f memory_dump.raw ssdt
APIHOOK:
volatility -f memory_dump.raw apihooks
Çalışan servisler:
volatility -f memory_dump.raw svcscan
RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
Hizmetler
Volatility Hile Kağıdı
Volatility Komutları
volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumları hakkında bilgi alır.
volatility -f dump.dmp --profile=ProfileName cmdscan: Komut geçmişini tarar.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ taraması yapar.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName cmdline: Komut satırı argümanlarını listeler.
volatility -f dump.dmp --profile=ProfileName malfind: Şüpheli işlemleri bulur.
volatility -f dump.dmp --profile=ProfileName dlllist: Yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName handles: Açık kolları listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives'ı listeler.
volatility -f dump.dmp --profile=ProfileName userassist: UserAssist verilerini listeler.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini listeler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarar.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri tarar.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri tarar.
volatility -f dump.dmp --profile=ProfileName yarascan: Yara kuralı eşleşmelerini tarar.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q 0xADDRESS -D /path/to/dump/dir/: Belirli bir bellek adresinden dosyaları çıkarır.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump/dir/: Belirli bir işlem belleğini çıkarır.
volatility -f dump.dmp --profile=ProfileName memmap: Bellek haritasını gösterir.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump/dir/: İşlem belleğini çıkarır.
volatility -f dump.dmp --profile=ProfileName screenshot -p PID -D /path/to/dump/dir/: Ekran görüntüsü alır.
volatility -f dump.dmp --profile=ProfileName timeliner: Zaman çizelgesi oluşturur.
volatility -f dump.dmp --profile=ProfileName windows: Windows sürümünü belirler.
Volatility Profil Listesi
WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2003SP0x86
Win2003SP1x86
Win2003SP2x86
Win2003SP1x64
Win2003SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win81SP0x86
Win81SP0x64
Win10x86
Win10x64
Win2016x64
Win2019x64
Win2022x64
Volatility Yararlı Kaynaklar
Ağ
Volatility Hile Kağıdı
Volatility Komutları
volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName cmdline: İşlem komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName malfind: Şüpheli işlemleri bulur.
volatility -f dump.dmp --profile=ProfileName dlllist: İşlemde yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D output_directory: Belirli bir işlemi bellekten dışa aktarır.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D output_directory: Belirli bir işlem belleğini dışa aktarır.
volatility -f dump.dmp --profile=ProfileName userassist: Kullanıcı etkinliklerini listeler.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives'ı listeler.
volatility -f dump.dmp --profile=ProfileName printkey -o hive_offset -K key: Belirli bir kayıt anahtarını yazdırır.
volatility -f dump.dmp --profile=ProfileName hashdump: Parola karmalarını çözer.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini listeler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri listeler.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini taraması yapar.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName apihooks: API hook'ları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Kernel callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini
Kayıt Hivesi
Mevcut hives'ları yazdır
Bu hafıza görüntüsü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve hafıza analizi için temel metodolojiyi içerir. Bu hile yaprağı, hafıza analizi sırasında kullanılabilecek en önemli komutları ve bunların nasıl kullanılacağını özetler. Ayrıca, hafıza analizi sürecinde izlenmesi gereken temel adımları içerir. Bu hile yaprağı, hafıza analizi sırasında başlangıç noktası olarak kullanılabilir ve daha fazla derinlemesine analiz için temel bir çerçeve sağlar.
Bir Değeri Al
Volatility Hile Kağıdı
Volatility Komutları
volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını görselleştirir.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Belirli bir PID'ye sahip işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Açık dosyaları taramak için kullanılır.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName malfind: Hafıza alanında kötü amaçlı yazılım işaretçilerini arar.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Belirli bir PID'ye sahip işlemde yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlemi belleğe döker.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlem belleğini döker.
volatility -f dump.dmp --profile=ProfileName userassist: Kullanıcı etkinliklerini listeler.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives listesini gösterir.
volatility -f dump.dmp --profile=ProfileName printkey -o hiveoffset -K key: Belirli bir kayıt anahtarını yazdırır.
volvolatility -f dump.dmp --profile=ProfileName hashdump: Parolaları çözer.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini listeler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri listeler.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini taramak için kullanılır.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutant nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback fonksiyonlarını listeler.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT fonksiyonlarını listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: Kullanılan kolları listeler.
volatility -f dump.dmp --profile=ProfileName vadinfo -p PID: Belirli bir PID'ye sahip işlemdeki bellek alanlarını listeler.
volatility -f dump.dmp --profile=ProfileName cmdline: Tüm işlemlerin komut satırlarını gösterir.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName consoles -p PID: Belirli bir PID'ye sahip işlemin konsol oturumunu gösterir.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName envars -p PID: Belirli bir PID'ye sahip işlemin ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName vadtree -p PID: Belirli bir PID'ye sahip işlemdeki bellek alanlarını görselleştirir.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -D /path/to/dump: Belirli bir adres aralığındaki dosyaları döker.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -D /path/to/dump --name: Dosyaları isimlendirerek döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump: Registry anahtarlarını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key: Belirli bir kayıt anahtarını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --name: Registry anahtarlarını isimlendirerek döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --value: Registry anahtarlarını ve değerlerini döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --value --name: Registry anahtarlarını ve değerlerini isimlendirerek döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --value --data: Registry anahtarlarını, değerlerini ve verilerini döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --value --data --name: Registry anahtarlarını, değerlerini ve verilerini isimlendirerek döker.
Volatility Profil Listesi
WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2k3SP0x86
Win2k3SP1x86
Win2k3SP2x86
Win2k3SP1x64
Win2k3SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win2012SP0x64
Win2012SP1x64
Win8.1SP0x86
Win8.1SP0x64
Win8.1SP1x86
Win8.1SP1x64
Win2012R2SP0x64
Win2012R2SP1x64
Win10x64
Win2016x64
Win2019x64
Win10x64
Win2016x64
Win2019x64
Volatility Yardım
volatility --help: Tüm komutları ve seçenekleri listeler.
volatility command --help: Belirli bir komut hakkında yardım bilgilerini gösterir.
---
Döküm
Dosya Sistemi
Bağlama
Volatility Hile Kağıdı
Volatility Komutları
volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak Volatility komutlarını çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Belirli bir PID'ye sahip işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName connscan: Ağ bağlantılarını tarama yapar.
volatility -f dump.dmp --profile=ProfileName malfind: Hafıza bölgesinde kötü amaçlı yazılım işaretçilerini arar.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Belirli bir PID'ye sahip işlemde yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlemi bellek dökümü yapar.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlem belleğini döker.
volatility -f dump.dmp --profile=ProfileName userassist: Kullanıcının kullandığı uygulamaları listeler.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives listesini gösterir.
volatility -f dump.dmp --profile=ProfileName printkey -o hiveoffset -K key: Belirli bir kayıt anahtarını yazdırır.
volatility -f dump.dmp --profile=ProfileName hashdump: Parola karmalarını çözer.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini listeler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri listeler.
volatility -f dump.dmp --profile=ProfileName getservicesids: Hizmet SID'lerini listeler.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarama yapar.
volatility -f dump.dmp --profile=ProfileName moddump -b base -D /path/to/dump: Belirli bir kernel modülünü bellek döker.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü IRP'lerini listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback fonksiyonlarını listeler.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri tarama yapar.
volatility -f dump.dmp --profile=ProfileName svcscan -s ServiceName: Belirli bir hizmeti tarama yapar.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName consoles -s SessionId: Belirli bir oturumu listeler.
volatility -f dump.dmp --profile=ProfileName screenshot -D /path/to/save: Ekran görüntüsü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -p PID -D /path/to/save: Belirli bir PID'ye sahip işlemin ekran görüntüsünü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -s SessionId -D /path/to/save: Belirli bir oturumun ekran görüntüsünü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -a -D /path/to/save: Tüm oturumların ekran görüntülerini alır.
volatility -f dump.dmp --profile=ProfileName screenshot -A -D /path/to/save: Tüm oturumların ekran görüntülerini alır.
volatility -f dump.dmp --profile=ProfileName screenshot -u Username -D /path/to/save: Belirli bir kullanıcının oturumunun ekran görüntüsünü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -U Username -D /path/to/save: Belirli bir kullanıcının oturumunun ekran görüntüsünü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -o Offset -D /path/to/save: Belirli bir bellek ofsetinden ekran görüntüsü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -O Offset -D /path/to/save: Belirli bir bellek ofsetinden ekran görüntüsü alır.
Volatility Profil Listesi
WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2k3SP0x86
Win2k3SP1x86
Win2k3SP2x86
Win2k3SP1x64
Win2k3SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win2012SP0x64
Win2012SP1x64
Win8.1SP0x86
Win8.1SP0x64
Win8.1SP1x86
Win8.1SP1x64
Win2012R2SP0x64
Win2012R2SP1x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win201
Tarama/dump
Volatility Hile Kağıdı
Genel Kullanım
Volatility'yi çalıştırın:
volatility -f memory_dump.raw <command>
Profil belirtin:
--profile=<profile>
Çıktıyı dosyaya kaydedin:
> output.txt
Temel Komutlar
İşlem listesini görüntüle:
pslist
Modülleri listele:
modlist
Ağ bağlantılarını görüntüle:
netscan
Kayıtlı DLL'leri listele:
dlllist
Kullanıcıları listele:
userlist
Komut geçmişini görüntüle:
cmdscan
Bellek İmzalama
Bellek imzalarını karşılaştır:
malfind
SSDT'yi kontrol et:
ssdt
API Hook'ları kontrol et:
apihooks
Örnek Kullanım
pslist komutu:
volatility -f memory_dump.raw --profile=Win7SP1x64 pslist > pslist.txt
malfind komutu:
volatility -f memory_dump.raw --profile=Win7SP1x64 malfind > malfind.txt
Daha Fazla Bilgi
Resmi belgeler: Volatility Docs
Komutlar listesi:
volatility --info | grep -iE "profile|plugin"
Ana Dosya Tablosu
Bu hafıza görüntüsü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içerir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işle
NTFS dosya sistemi, ana dosya tablosu (MFT) olarak bilinen kritik bir bileşen kullanır. Bu tablo, bir birimdeki her dosya için en az bir girişi içerir ve MFT'yi de kapsar. Her dosya hakkında boyut, zaman damgaları, izinler ve gerçek veriler gibi önemli ayrıntılar, MFT girişlerinin içinde veya bu girişler tarafından referans verilen MFT dışındaki alanlarda kapsanmıştır. Daha fazla ayrıntıya resmi belgelerde ulaşılabilir.
SSL Anahtarları/Sertifikaları
Volatility Hile Kağıdı
Volatility Komutları
volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName consoles: Açık konsolları listeler.
volatility -f dump.dmp --profile=ProfileName cmdscan: CMD komut geçmişini tarar.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName netscan: Ağdaki açık bağlantıları tarar.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya nesnelerini tarar.
volatility -f dump.dmp --profile=ProfileName handles: Açık kolları listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives listesini alır.
volatility -f dump.dmp --profile=ProfileName userassist: UserAssist verilerini alır.
volatility -f dump.dmp --profile=ProfileName malfind: Potansiyel kötü amaçlı yazılım işaretlerini arar.
volatility -f dump.dmp --profile=ProfileName dlllist: Yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName vadinfo: Bellek alanları hakkında bilgi verir.
volatility -f dump.dmp --profile=ProfileName cmdline: İşlem komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D output_directory: Belirli bir işlemi döker.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D output_directory: Belirli bir işlem belleğini döker.
volatility -f dump.dmp --profile=ProfileName memmap -p PID: İşlem bellek haritasını gösterir.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarar.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini alır.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName apihooks: API hookları bulur.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutant nesnelerini tarar.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini alır.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu gösterir.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback fonksiyonlarını listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu gösterir.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu gösterir.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName modules: Modülleri listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu tarar.
volatility -f dump.dmp --profile=ProfileName wndscan: Pencere nesnelerini tarar.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName userhandles: Kullanıcı kollarını listeler.
volatility -f dump.dmp --profile=ProfileName deskscan: Masaüstü nesnelerini tarar.
volatility -f dump.dmp --profile=ProfileName drivermodule: Sürücü modülünü alır.
volatility -f dump.dmp --profile=ProfileName iehistory: Internet Explorer geçmişini alır.
volatility -f dump.dmp --profile=ProfileName printkey: Registry anahtarını alır.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName yarascan: Yara kuralı uygular.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q address_range -D output_directory: Belirli bellek aralığını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D output_directory: Registry'yi döker.
volatility -f dump.dmp --profile=ProfileName dumpcerts -D output_directory: Sertifikaları döker.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q address_range -D output_directory: Belirli bellek aralığını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D output_directory: Registry'yi döker.
volatility -f dump.dmp --profile=ProfileName dumpcerts -D output_directory: Sertifikaları döker.
Volatility Profil Listesi
WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2003SP0x86
Win2003SP1x86
Win2003SP2x86
Win2003SP1x64
Win2003SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win2012SP0x64
Win2012SP1x64
Win2012R2x64
Win10x64
Win2016x64
Win2019x64
Win10x64
Win2016x64
Win2019x64
Volatility Yardım
volatility --help: Tüm komutları ve seçenekleri listeler.
volatility command --help: Belirli bir komut hakkında yardım alır.
Kötü Amaçlı Yazılım
Autoruns
Onu https://github.com/tomchop/volatility-autoruns adresinden indirin.
Mutexes
Basit Adli Bilişim Metodolojisi
Hafıza Dökümü Analizi
Volatility Hile Kağıdı
Volatility, hafıza dökümlerini analiz etmek için açık kaynaklı bir çerçevedir.
Hafıza dökümü analizi yaparken kullanılan temel komutlar:
imageinfo
: Hafıza dökümü dosyası hakkında genel bilgiler sağlar.pslist
: İşlem listesini görüntüler.pstree
: İşlem ağacını görüntüler.psscan
: Gizli işlemleri tespit etmek için tarar.dlllist
: İşlem belleğinde yüklenen DLL'leri listeler.cmdline
: İşlem komut satırını görüntüler.filescan
: Bellekteki dosyaları tarar.netscan
: Ağ bağlantılarını görüntüler.connections
: Ağ bağlantılarını detaylı olarak görüntüler.malfind
: Potansiyel kötü amaçlı yazılım işaretlerini arar.apihooks
: API kancalarını tespit eder.ldrmodules
: Yüklenen modülleri listeler.modscan
: Modülleri tarar.ssdt
: SSDT tablosunu görüntüler.callbacks
: Geri aramaları listeler.driverirp
: Sürücü ve IRP bilgilerini görüntüler.devicetree
: Sürücü ağacını görüntüler.svcscan
: Hizmetleri tarar.mutantscan
: Mutant nesnelerini tarar.atomscan
: Atom tablosunu tarar.shimcache
: Shimcache verilerini görüntüler.userassist
: Kullanıcı etkinliklerini analiz eder.getsids
: SID'leri görüntüler.hivelist
: Registry hives'ı listeler.printkey
: Registry anahtarlarını görüntüler.hashdump
: Parola hash'lerini çıkarır.kdbgscan
: KDBG adresini tespit eder.gdt
: GDT tablosunu görüntüler.idt
: IDT tablosunu görüntüler.ss
: Sistem servislerini görüntüler.modules
: Yüklenen modülleri listeler.moddump
: Modülü dışa aktarır.vaddump
: Sanal adres dökümü yapar.vadinfo
: Sanal adres bilgilerini görüntüler.vadtree
: Sanal adres ağacını görüntüler.vadwalk
: Sanal adres yürüyüşü yapar.yarascan
: Yara kurallarını kullanarak belleği tarar.yarascan_file
: Yara kurallarını kullanarak dosyaları tarar.yarascan_mem
: Yara kurallarını kullanarak belleği tarar.yarascan_proc
: Yara kurallarını kullanarak işlemleri tarar.yarascan_all
: Yara kurallarını kullanarak tümü üzerinde tarama yapar.yara
: Yara kurallarını kullanarak tarama yapar.malfind
: Potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_deep
: Derinlemesine potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_inline
: İşlem belleğinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_psscan
: Psscan sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_pstree
: Pstree sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_ssdt
: Ssdt sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_apihooks
: Apihooks sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_modscan
: Modscan sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_moddump
: Moddump sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_modload
: Modload sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_modunload
: Modunload sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_ss
: Sistem servislerini tarar.malfind_ssdt
: Ssdt sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_threads
: İşlem ipliklerini tarar.malfind_vad
: Vad sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtree
: Vadtree sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadwalk
: Vadwalk sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadinfo
: Vadinfo sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vaddump
: Vaddump sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadroot
: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtag
: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtype
: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadflags
: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadprot
: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsize
: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadusage
: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadowner
: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadfile
: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsection
: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadprot
: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsize
: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadusage
: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadowner
: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadfile
: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsection
: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtag
: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtype
: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadflags
: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadprot
: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsize
: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadusage
: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadowner
: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadfile
: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsection
: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadroot
: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtag
: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtype
: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadflags
: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadprot
: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsize
: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadusage
: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadowner
: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadfile
: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsection
: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadroot
: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtag
: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtype
: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadflags
: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadprot
: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsize
: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadusage
: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadowner
: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadfile
: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsection
: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadroot
: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtag
: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtype
: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadflags
: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadprot
: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsize
: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadusage
: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadowner
: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadfile
: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsection
: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadroot
: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtag
: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtype
: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadflags
: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadprot
: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsize
: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadusage
: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadowner
: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadfile
: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadsection
: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadroot
: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.malfind_vadtag
: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar
Sembolik Bağlantılar
Basit Adli Bilişim Metodolojisi
Hafıza Dökümü Analizi
Volatility Hile Kağıdı
Volatility, hafıza dökümlerini analiz etmek için kullanılan bir çerçevedir.
Hafıza dökümü analizi, kötü amaçlı yazılım tespiti ve dijital delil toplama için önemli bir adımdır.
Volatility, Windows, Linux ve macOS gibi çeşitli işletim sistemlerinin hafıza dökümlerini analiz etmek için kullanılabilir.
Hafıza dökümü analizi, işletim sistemi belleğindeki süreçler, dosyalar, kayıt defteri ve ağ bağlantıları gibi bilgileri ortaya çıkarabilir.
Volatility, hafıza dökümlerini analiz etmek için bir dizi komut ve modül sağlar.
Örnek Komutlar:
volatility -f memory_dump.mem imageinfo
volatility -f memory_dump.mem pslist
volatility -f memory_dump.mem filescan
Bash
Bellekten bash geçmişini okumak mümkündür. .bash_history dosyasını da dump edebilirsiniz, ancak devre dışı bırakıldıysa bu volatility modülünü kullanabileceğiniz için sevinirsiniz.
Temel Adli Bilişim Metodolojisi
Volatility Hile Kağıdı
Volatility Hile Kağıdı
Volatility, bir hafıza görüntüsü analiz aracıdır.
Hafıza görüntüsü analizi, kötü amaçlı yazılım analizi ve dijital adli bilişimde yaygın olarak kullanılır.
Volatility, Windows, Linux, macOS ve Android gibi çeşitli işletim sistemlerinin hafıza görüntülerini analiz etmek için kullanılabilir.
Volatility, çeşitli hafıza görüntüsü dosya biçimlerini destekler ve çeşitli analiz teknikleri sağlar.
Volatility, hafıza görüntüsünden bilgi çıkarmak için komut satırı arayüzü kullanır.
Volatility, hafıza görüntüsünden süreçler, bağlantılar, dosyalar, kayıt defteri girdileri ve daha fazlası gibi çeşitli bilgileri çıkarabilir.
Volatility, hafıza görüntüsünden kötü amaçlı yazılım tespiti, kötü amaçlı yazılım analizi ve olay yanıtı gibi çeşitli amaçlar için kullanılabilir.
Temel Adli Bilişim Metodolojisi
Adli bilişim, dijital delillerin toplanması, korunması, analizi ve sunulmasını içeren disiplinler arası bir alandır.
Adli bilişim metodolojisi, adli bilişim sürecinin adımlarını ve en iyi uygulamalarını tanımlar.
Temel adli bilişim metodolojisi genellikle aşağıdaki adımları içerir:
Olayın tanımlanması ve planlama
Delillerin toplanması
Delillerin korunması
Delillerin analizi
Bulguların belgelenmesi
Raporlama ve sunum
Zaman Çizelgesi
Bu hafıza dökümü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve bunların kullanım örneklerini içerir. Bu hile yaprağı, hafıza dökümü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için kullanışlı bir kaynaktır.
Sürücüler
Volatility Hile Kağıdı
Volatility Hile Kağıdı
Temel Volatility Komutları
volatility -f dump.mem imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.mem --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.mem --profile=ProfileName consoles: Konsol oturumları hakkında bilgi alır.
volatility -f dump.mem --profile=ProfileName cmdscan: Komut geçmişini tarar.
volatility -f dump.mem --profile=ProfileName connections: Ağ bağlantılarını listeler.
volatility -f dump.mem --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.mem --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.mem --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.mem --profile=ProfileName netscan: Ağ aktivitesini tarar.
volatility -f dump.mem --profile=ProfileName cmdline: İşlem komut satırlarını gösterir.
volatility -f dump.mem --profile=ProfileName malfind: Şüpheli işlemleri bulur.
volatility -f dump.mem --profile=ProfileName dlllist: İşlemde yüklenen DLL'leri listeler.
volatility -f dump.mem --profile=ProfileName handles: Açık kolları listeler.
volatility -f dump.mem --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.mem --profile=ProfileName hivelist: Registry hives'ı listeler.
volatility -f dump.mem --profile=ProfileName userassist: UserAssist verilerini çözer.
volatility -f dump.mem --profile=ProfileName shimcache: Shimcache verilerini çözer.
volatility -f dump.mem --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.mem --profile=ProfileName modscan: Modülleri tarar.
volatility -f dump.mem --profile=ProfileName mutantscan: Mutex'leri tarar.
volatility -f dump.mem --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.mem --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.mem --profile=ProfileName vadinfo: Bellek alanları hakkında bilgi alır.
volatility -f dump.mem --profile=ProfileName vadtree: Bellek alanı ağacını gösterir.
volatility -f dump.mem --profile=ProfileName yarascan: Yara taraması yapar.
volatility -f dump.mem --profile=ProfileName yarascan --yara-file=path/to/rules.yar: Belirli bir Yara kural dosyasını kullanarak tarama yapar.
Volatility Profil Listesi
Windows XP SP2 (x86): WinXPSP2x86
Windows 7 SP0 (x86): Win7SP0x86
Windows 7 SP1 (x86): Win7SP1x86
Windows 7 SP0 (x64): Win7SP0x64
Windows 7 SP1 (x64): Win7SP1x64
Windows 8 (x86): Win8SP0x86
Windows 8.1 (x86): Win81x86
Windows 8 (x64): Win8SP0x64
Windows 8.1 (x64): Win81x64
Windows 10 (x86): Win10x86
Windows 10 (x64): Win10x64
Volatility Yardım
volatility --help: Tüm komutları ve seçenekleri listeler.
volatility command --help: Belirli bir komut hakkında yardım bilgisi sağlar.
Volatility Profil Değiştirme
export VOLATILITY_PROFILE=ProfileName: Çalışma zamanında profil değiştirir.
Volatility Yapılandırma Dosyası
~/.volatilityrc: Volatility yapılandırma dosyasıdır.
Volatility Pluginleri
volatility --plugins=PathToPluginsDir: Özel pluginlerin bulunduğu dizini belirtir.
Volatility Bellek Görüntüsü Analizi
volatility -f dump.mem --profile=ProfileName command: Bellek görüntüsü analizi yapar.
Volatility Yara Taraması
volatility -f dump.mem --profile=ProfileName yarascan --yara-file=path/to/rules.yar: Yara taraması yapar.
Volatility Hata Ayıklama
volatility --debug -f dump.mem imageinfo: Hata ayıklama modunda çalışır.
Volatility İşlem İzleme
volatility --vvv -f dump.mem imageinfo: Ayrıntılı işlem izlemesi yapar.
Volatility Loglama
volatility -f dump.mem imageinfo > output.txt: Çıktıyı bir dosyaya yönlendirir.
Volatility Çıktı Biçimi
volatility -f dump.mem imageinfo --output=json: Çıktıyı JSON biçiminde alır.
Volatility İşlem Filtreleme
volatility -f dump.mem --profile=ProfileName pslist --pid=1234: Belirli bir PID'ye sahip işlemi listeler.
Volatility Bellek Alanı Filtreleme
volatility -f dump.mem --profile=ProfileName vadinfo --address=0x1234567890: Belirli bir bellek adresi hakkında bilgi alır.
Volatility Tarih Aralığı Filtreleme
volatility -f dump.mem --profile=ProfileName pslist --dt <start_date> <end_date>: Belirli bir tarih aralığındaki işlemleri listeler.
Volatility İşlem Adı Filtreleme
volatility -f dump.mem --profile=ProfileName pslist --name=explorer.exe: Belirli bir işlem adına sahip işlemleri listeler.
Volatility Kullanıcı Adı Filtreleme
volatility -f dump.mem --profile=ProfileName pslist --username=JohnDoe: Belirli bir kullanıcı adına sahip işlemleri listeler.
Volatility Komut Satırı Filtreleme
volatility -f dump.mem --profile=ProfileName cmdline --pid=1234: Belirli bir PID'ye sahip işlemin komut satırını gösterir.
Volatility DLL Adı Filtreleme
volatility -f dump.mem --profile=ProfileName dlllist --pid=1234: Belirli bir PID'ye sahip işlemin yüklenen DLL'lerini listeler.
Volatility Dosya Adı Filtreleme
volatility -f dump.mem --profile=ProfileName filescan --name=example.txt: Belirli bir dosya adına sahip dosyaları bulur.
Volatility Ağ Bağlantısı Filtreleme
volatility -f dump.mem --profile=ProfileName netscan --pid=1234: Belirli bir PID'ye sahip işlemin ağ bağlantılarını listeler.
Volatility Hizmet Adı Filtreleme
volatility -f dump.mem --profile=ProfileName svcscan --name=spoolsv.exe: Belirli bir hizmet adına sahip hizmetleri listeler.
Volatility Mutex Adı Filtreleme
volatility -f dump.mem --profile=ProfileName mutantscan --name=MutexName: Belirli bir mutex adına sahip mutex'leri listeler.
Volatility Yara Kuralı Filtreleme
volatility -f dump.mem --profile=ProfileName yarascan --yara-rule=rule_name: Belirli bir Yara kuralına uyan öğeleri bulur.
Volatility Yara Kural Dosyası Filtreleme
volatility -f dump.mem --profile=ProfileName yarascan --yara-file=path/to/rules.yar: Belirli bir Yara kural dosyasını kullanarak tarama yapar.
Volatility Çıktı Filtreleme
volatility -f dump.mem --profile=ProfileName pslist --output=json: Çıktıyı JSON biçiminde alır.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.
Volatility Çıktı Sıralama
volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belir
Pano Al
IE geçmişini al
Not defteri metnini al
Ekran Görüntüsü
Ana Önyükleme Kaydı (MBR)
Ana Önyükleme Kaydı (MBR), bir depolama ortamının mantıksal bölümlerini yönetmede kritik bir rol oynar ve farklı dosya sistemleri ile yapılandırılmıştır. Sadece bölüm düzeni bilgilerini tutmakla kalmaz, aynı zamanda önyükleme yükleyicisi olarak işlev gören yürütülebilir kodları da içerir. Bu önyükleme yükleyicisi, işletim sisteminin ikinci aşama yükleme sürecini doğrudan başlatır (bkz. ikinci aşama önyükleme yükleyicisi) veya her bölümün hacim önyükleme kaydı (VBR) ile uyum içinde çalışır. Detaylı bilgi için MBR Wikipedia sayfasına başvurun.
Referanslar
RootedCON, İspanya'nın en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.
Last updated