Volatility - CheatSheet

Sıfırdan kahraman olmak için AWS hackleme öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız [ABONELİK PLANLARI]'na göz atın (https://github.com/sponsors/carlospolop)!
Resmi PEASS & HackTricks ürünlerini edinin
PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
Katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter 🐦 @hacktricks_live'da takip edin.
Hacking hilelerinizi paylaşarak PR'lar göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulunun.

RootedCON, İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.

RootedCONRootedCON

Eğer hızlı ve çılgın bir şey istiyorsanız ve birkaç Volatility eklentisini aynı anda başlatmak istiyorsanız şunu kullanabilirsiniz: https://github.com/carlospolop/autoVolatility

python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)

Kurulum

volatility3

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py install
python3 vol.py —h

volatility2

Download the executable from https://www.volatilityfoundation.org/26

git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python setup.py install

Volatility Komutları

Volatility komut referansına resmi belgeden erişin.

"list" ve "scan" eklentileri hakkında not

Volatility'nin iki ana eklenti yaklaşımı vardır ve bazen isimlerinde yansıtılır. "list" eklentileri, işlemler gibi bilgileri almak için Windows Kernel yapıları arasında gezinmeye çalışacaktır (bellekteki _EPROCESS yapılarının bağlı liste olarak bulunması ve gezilmesi), işletim sistemi kollarını (kol tablosunu bulma ve listeleme, bulunan herhangi bir işaretçiyi çözme vb.). Daha çok, örneğin, işlemleri listelemesi istendiğinde Windows API'nın nasıl davranacağı gibi davranırlar.

Bu, "list" eklentilerini oldukça hızlı yapar, ancak kötü amaçlı yazılımlar tarafından manipülasyona açık olmaları da Windows API kadar savunmasız hale getirir. Örneğin, kötü amaçlı yazılım bir işlemi _EPROCESS bağlı listesinden ayırmak için DKOM kullanıyorsa, bu işlem Görev Yöneticisinde görünmeyecek ve pslist'te de görünmeyecektir.

Öte yandan, "scan" eklentileri, belirli yapılar olarak çözümlendiğinde anlam ifade edebilecek şeyleri bellekten kazımak gibi bir yaklaşım benimseyecektir. Örneğin, psscan belleği okuyacak ve ondan _EPROCESS nesneleri oluşturmaya çalışacaktır (yapıyı arayan 4 baytlık dizeleri arayan havuz etiketi taraması kullanır). Avantajı, çıkmış işlemleri ortaya çıkarabilmesidir ve kötü amaçlı yazılım _EPROCESS bağlı listesini değiştirirse bile, eklenti hala bellekte bulunan yapıyı bulacaktır (çünkü işlemin çalışması için hala var olması gerekir). Dezavantajı ise "scan" eklentilerinin "list" eklentilerinden biraz daha yavaş olmaları ve bazen yanlış pozitif sonuçlar verebilmeleridir (çok uzun süre önce çıkmış bir işlem ve yapısının diğer işlemler tarafından üzerine yazılması).

Kaynak: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/

İşletim Sistemi Profilleri

Volatility3

Readme içinde açıklandığı gibi, desteklemek istediğiniz işletim sisteminin sembol tablosunu volatility3/volatility/symbols içine koymalısınız. Çeşitli işletim sistemleri için sembol tablo paketleri indirme için mevcuttur:

Volatility2

Harici Profil

Desteklenen profillerin listesini almak için şunu yapabilirsiniz:

./volatility_2.6_lin64_standalone --info | grep "Profile"

Eğer indirdiğiniz yeni bir profil (örneğin bir linux profil) kullanmak istiyorsanız, aşağıdaki klasör yapısını oluşturmanız gerekmektedir: plugins/overlays/linux ve bu klasörün içine profil içeren zip dosyasını yerleştirmeniz gerekmektedir. Daha sonra, profil sayısını aşağıdaki komutu kullanarak alabilirsiniz:

./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
Volatility Foundation Volatility Framework 2.6


Profiles
--------
LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
VistaSP0x64                                   - A Profile for Windows Vista SP0 x64
VistaSP0x86                                   - A Profile for Windows Vista SP0 x86

Linux ve Mac profillerini https://github.com/volatilityfoundation/profiles adresinden indirebilirsiniz.

Önceki parçada profilin adının LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 olduğunu görebilirsiniz ve bunu şu şekilde kullanabilirsiniz:

./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan

Profil Keşfi

volatility imageinfo -f file.dmp
volatility kdbgscan -f file.dmp

imageinfo ve kdbgscan arasındaki farklar

Buradan: Basitçe profil önerileri sunan imageinfo'nun aksine, kdbgscan doğru profili ve doğru KDBG adresini (birden fazla varsa) pozitif olarak tanımlamak üzere tasarlanmıştır. Bu eklenti, Volatility profilleriyle ilişkilendirilmiş KDBGHeader imzalarını tarar ve yanlış pozitifleri azaltmak için sağlamlık kontrolleri uygular. Çıktının ayrıntısı ve yapılabilen sağlamlık kontrolleri sayısı, Volatility'nin bir DTB bulup bulamadığına bağlıdır, bu nedenle doğru profili zaten biliyorsanız (veya imageinfo'dan bir profil önerisi varsa), onu kullanmaktan emin olun.

Her zaman kdbgscan'ın bulduğu işlem sayısına bakın. Bazen imageinfo ve kdbgscan, birden fazla uygun profil bulabilir, ancak yalnızca geçerli olanın bazı işlemlerle ilgili olacağını bulacaktır (Bu, işlemleri çıkarmak için doğru KDBG adresinin gerekliliğinden kaynaklanmaktadır)

# GOOD
PsActiveProcessHead           : 0xfffff800011977f0 (37 processes)
PsLoadedModuleList            : 0xfffff8000119aae0 (116 modules)

# BAD
PsActiveProcessHead           : 0xfffff800011947f0 (0 processes)
PsLoadedModuleList            : 0xfffff80001197ac0 (0 modules)

KDBG

Çekirdek hata ayıklayıcı bloğu, Volatility tarafından KDBG olarak adlandırılan, Volatility ve çeşitli hata ayıklayıcılar tarafından gerçekleştirilen adli görevler için hayati öneme sahiptir. _KDDEBUGGER_DATA64 türünde olan ve KdDebuggerDataBlock olarak tanımlanan bu blok, PsActiveProcessHead gibi temel referansları içerir. Bu belirli referans, işlem listesinin başına işaret eder ve tüm işlemlerin listelenmesini sağlar; bu da kapsamlı bellek analizi için temel bir adımdır.

İşletim Sistemi Bilgileri

#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
./vol.py -f file.dmp windows.info.Info

Plugin banners.Banners, vol3 içinde dump dosyasında linux banners bulmaya çalışmak için kullanılabilir.

Hashlar/Parolalar

SAM hash'lerini, domain cached credentials ve lsa secrets çıkarın.

./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets

Volatility Cheat Sheet

Basic Commands

Image Identification
- volatility -f <memory_dump> imageinfo
Listing Processes
- volatility -f <memory_dump> --profile=<profile> pslist
Dumping a Process
- volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
Listing Network Connections
- volatility -f <memory_dump> --profile=<profile> connections
Dumping Registry
- volatility -f <memory_dump> --profile=<profile> printkey -o <offset>
Extracting Files
- volatility -f <memory_dump> --profile=<profile> filescan | grep -i <file_extension>

Advanced Commands

Detecting Hidden Processes
- volatility -f <memory_dump> --profile=<profile> psxview
Analyzing DLLs
- volatility -f <memory_dump> --profile=<profile> dlllist -p <pid>
Identifying Sockets
- volatility -f <memory_dump> --profile=<profile> sockscan
Analyzing Drivers
- volatility -f <memory_dump> --profile=<profile> driverscan
Identifying Mutants
- volatility -f <memory_dump> --profile=<profile> mutantscan
Analyzing Timelining
- volatility -f <memory_dump> --profile=<profile> timeliner
Analyzing PSScan
- volatility -f <memory_dump> --profile=<profile> psscan
Analyzing LDRModules
- volatility -f <memory_dump> --profile=<profile> ldrmodules
Analyzing API Hooks
- volatility -f <memory_dump> --profile=<profile> apihooks
Analyzing SSDT
- volatility -f <memory_dump> --profile=<profile> ssdt
Analyzing GDT
- volatility -f <memory_dump> --profile=<profile> gdt
Analyzing IDT
- volatility -f <memory_dump> --profile=<profile> idt
Analyzing CSRSS
- volatility -f <memory_dump> --profile=<profile> csrss
Analyzing Malware
- volatility -f <memory_dump> --profile=<profile> malfind
Analyzing Yara Rules
- volatility -f <memory_dump> --profile=<profile> yarascan
Analyzing API Audit
- volatility -f <memory_dump> --profile=<profile> apihooks
Analyzing Handles
- volatility -f <memory_dump> --profile=<profile> handles
Analyzing Vad
- volatility -f <memory_dump> --profile=<profile> vad
Analyzing MBR
- volatility -f <memory_dump> --profile=<profile> mbrparser
Analyzing User Handles
- volatility -f <memory_dump> --profile=<profile> userhandles
Analyzing User Sessions
- volatility -f <memory_dump> --profile=<profile> users
Analyzing Registry Hives
- volatility -f <memory_dump> --profile=<profile> hivelist
Analyzing Registry Keys
- volatility -f <memory_dump> --profile=<profile> printkey -K <key>
AnalyAnalyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volvolatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyzing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyzing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyizing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyizing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyizing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyizing Cached Credentials
- volatility -f <memory_dump> --profile=<profile> cachedump
Analyizing Hash Dump
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyizing LSA Cache
- volatility -f <memory_dump> --profile=<profile> lsa_dump
Analyizing LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyizing Cached Credentials
- `volatility -f <

volatility --profile=Win7SP1x86_23418 hashdump -f file.dmp #Grab common windows hashes (SAM+SYSTEM)
volatility --profile=Win7SP1x86_23418 cachedump -f file.dmp #Grab domain cache hashes inside the registry
volatility --profile=Win7SP1x86_23418 lsadump -f file.dmp #Grab lsa secrets

Bellek Dökümü

Bir işlemin bellek dökümü, işlemin mevcut durumunun her şeyini çıkaracaktır. Procdump modülü yalnızca kodu çıkaracaktır.

volatility -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/

RootedCON İspanya'daki en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.

RootedCONRootedCON

Süreçler

Süreçleri Listele

Şüpheli süreçleri (adına göre) veya beklenmedik alt süreçleri (örneğin iexplorer.exe'nin bir alt süreci olarak cmd.exe) bulmaya çalışın. Gizli süreçleri tanımlamak için pslist sonucunu psscan sonucuyla karşılaştırmak ilginç olabilir.

python3 vol.py -f file.dmp windows.pstree.PsTree # Get processes tree (not hidden)
python3 vol.py -f file.dmp windows.pslist.PsList # Get process list (EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # Get hidden process list(malware)

Bu hafıza görüntüsü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve bunların kullanım örneklerini içerir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında sıkça karşılaşılan senaryoları ele alır ve bu senaryoları çözmek için Volatility'nin nasıl kullanılacağını açıklar. Bu hile yaprağı, hafıza görüntüsü analizi sırasında karşılaşılan sorunları çözmek için bir başvuru kaynağı olarak kullanılabilir.

volatility --profile=PROFILE pstree -f file.dmp # Get process tree (not hidden)
volatility --profile=PROFILE pslist -f file.dmp # Get process list (EPROCESS)
volatility --profile=PROFILE psscan -f file.dmp # Get hidden process list(malware)
volatility --profile=PROFILE psxview -f file.dmp # Get hidden process list

Dump proc

./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory

Volatility Hile Kağıdı

Volatility Komutları

volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak Volatility komutlarını çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Belirli bir işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName connscan: Ağ bağlantılarını tarama yapar.
volatility -f dump.dmp --profile=ProfileName malfind: Hafıza alanında kötü amaçlı yazılım tespiti yapar.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Bir işlemin yüklenen DLL'lerini listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump: Bir işlemi belleğe döker.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump: Bir işlem belleğini döker.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Bir işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives'ı listeler.
volatility -f dump.dmp --profile=ProfileName printkey -o hiveoffset -K key: Registry anahtarını görüntüler.
volatility -f dump.dmp --profile=ProfileName hashdump: Parola karmalarını çözer.
volatility -f dump.dmp --profile=ProfileName userassist: UserAssist verilerini görüntüler.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini görüntüler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.dmp --profile=ProfileName getservicesids: Servis SID'lerini alır.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarama yapar.
volatility -f dump.dmp --profile=ProfileName moddump -b base -D /path/to/dump: Bir kernel modülünü döker.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü IRP'lerini listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT'yi listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT'yi listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT'yi listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutant nesnelerini tarama yapar.
volatility -f dump.dmp --profile=ProfileName mutantscan -s: Mutant nesnelerini tarama yapar ve sahiplerini gösterir.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu tarama yapar.
volatility -f dump.dmp --profile=ProfileName atomscan -t: Atom tablosunu tarama yapar ve sahiplerini gösterir.
volatility -f dump.dmp --profile=ProfileName vadinfo -p PID: Bir işlemin VAD bilgilerini görüntüler.
volvolatility -f dump.dmp --profile=ProfileName vadtree -p PID: Bir işlemin VAD ağacını görüntüler.
volatility -f dump.dmp --profile=ProfileName vadwalk -p PID -r VADAddress: Bir işlemin VAD ağacını yürütür.
volatility -f dump.dmp --profile=ProfileName dlldump -b base -D /path/to/dump: Bir DLL'yi döker.
volatility -f dump.dmp --profile=ProfileName dlldump -p PID -b base -D /path/to/dump: Bir işlemdeki bir DLL'yi döker.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -D /path/to/dump: Belirli bir bellek aralığını döker.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -n -D /path/to/dump: Belirli bir bellek aralığını döker ve dosya adlarını numaralandırır.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -n -s -D /path/to/dump: Belirli bir bellek aralığını döker, dosya adlarını numaralandırır ve dosya adlarını sahip süreçlerle birlikte gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -D /path/to/dump: Registry anahtarını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -D /path/to/dump: Registry anahtarını döker ve alt anahtarları gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir ve değerleri gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir ve veri türlerini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir ve veri boyutlarını gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir ve veri içeriğini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir ve ASCII olarak değerleri gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir ve Unicode olarak değerleri gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir ve belirli bir anahtarın alt anahtarlarını gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir ve değerlerin yorumlanmış sürümlerini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir ve değerlerin JSON biçiminde gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin tarih ve saat biçiminde gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -z -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin tarih ve saat biçiminde gösterir ve değerlerin sıkıştırılmış sürümlerini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -z -c -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin tarih ve saat biçiminde gösterir ve değerlerin sıkıştırılmış sürümlerini gösterir ve değerlerin sıkıştırılmış sürümlerini çözer.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -z -c -e -D /path/to/dump: Registry anahtarını döker, alt anahtarları gösterir, değerleri gösterir, veri türlerini gösterir, veri boyutlarını gösterir, veri içeriğini gösterir, ASCII olarak değerleri gösterir, Unicode olarak değerleri gösterir, belirli bir anahtarın alt anahtarlarını gösterir, değerlerin yorumlanmış sürümlerini gösterir, değerlerin JSON biçiminde gösterir, ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin yorumlanmış sürümlerini JSON biçiminde gösterir ve değerlerin tarih ve saat biçiminde gösterir ve değerlerin sıkıştırılmış sürümlerini gösterir ve değerlerin sıkıştırılmış sürümlerini çözer ve değerlerin şifrelenmiş sürümlerini gösterir.
volatility -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -s -y -r -v -f -a -H -K key -i -j -k -g -t -z -c -e -m -D /path/to/dump: Registry anahtarını döker,

volatility --profile=Win7SP1x86_23418 procdump --pid=3152 -n --dump-dir=. -f file.dmp

Komut satırı

Herhangi şüpheli bir şekilde çalıştırıldı mı?

python3 vol.py -f file.dmp windows.cmdline.CmdLine #Display process command-line arguments

Bu hafıza dökümü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içerir. Bu hile yaprağı, hafıza dökümü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir.

volatility --profile=PROFILE cmdline -f file.dmp #Display process command-line arguments
volatility --profile=PROFILE consoles -f file.dmp #command history by scanning for _CONSOLE_INFORMATION

Komutlar cmd.exe içinde çalıştırılır ve conhost.exe tarafından yönetilir (veya Windows 7'den önceki sistemlerde csrss.exe). Bu, eğer bir saldırgan bir bellek dökümü alınmadan önce cmd.exe'yi sonlandırırsa, oturumun komut geçmişinin hala conhost.exe'nin belleğinden kurtarılabilir olduğu anlamına gelir. Bu işlemi yapmak için, konsol modüllerinde olağandışı aktivite tespit edilirse, ilişkili conhost.exe işleminin belleği dökülmelidir. Ardından, bu döküm içindeki dizgileri arayarak, oturumda kullanılan komut satırları potansiyel olarak çıkarılabilir.

Çevre

Her çalışan işlemin ortam değişkenlerini alın. İlginç değerler olabilir.

python3 vol.py -f file.dmp windows.envars.Envars [--pid <pid>] #Display process environment variables

Basit Adli Bilişim Metodolojisi

Hafıza Dökümü Analizi
- Volatility Cheat Sheet
  - Volatility, hafıza dökümlerini analiz etmek için kullanılan bir araçtır.
  - Hafıza döküm analizi, kötü amaçlı yazılım tespiti ve dijital delil toplama süreçlerinde önemli bir adımdır.
  - Volatility, Windows, Linux ve macOS işletim sistemlerinde kullanılabilir.
  - Hafıza döküm analizi yaparken, Volatility aracı çeşitli komutlarla kullanılarak sistemde çalışan işlemler, ağ bağlantıları, kayıtlar ve diğer önemli bilgiler elde edilebilir.
  - Volatility Cheat Sheet, Volatility aracının sık kullanılan komutlarını ve bunların ne işe yaradığını içerir.
  - Bu hile yaprağı, hafıza döküm analizi sırasında kullanılabilecek temel komutları ve bunların nasıl kullanılacağını açıklar.

volatility --profile=PROFILE envars -f file.dmp [--pid <pid>] #Display process environment variables

volatility --profile=PROFILE -f file.dmp linux_psenv [-p <pid>] #Get env of process. runlevel var means the runlevel where the proc is initated

Token ayrıcalıkları

Beklenmeyen hizmetlerde ayrıcalıklı tokenları kontrol edin. Bazı ayrıcalıklı token kullanan işlemleri listelemek ilginç olabilir.

#Get enabled privileges of some processes
python3 vol.py -f file.dmp windows.privileges.Privs [--pid <pid>]
#Get all processes with interesting privileges
python3 vol.py -f file.dmp windows.privileges.Privs | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

Volatility Hile Kağıdı

Volatility Komutları

volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName psscan: Gizli işlemleri tespit eder.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Bir işlemin yüklenen DLL'lerini listeler.
volatility -f dump.dmp --profile=ProfileName filescan: Açık dosyaları tespit eder.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Bir işlemin komut satırı argümanlarını gösterir.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName timeliner: Zaman çizelgesi oluşturur.
volatility -f dump.dmp --profile=ProfileName malfind: Şüpheli bellek bölümlerini tespit eder.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q 0xADDRESS -D /path/to/dumpdir/: Belirli bir bellek adresindeki dosyaları çıkarır.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dumpdir/: Bir işlemin belleğini çıkarır.
volatility -f dump.dmp --profile=ProfileName linux_bash: Linux bash geçmişini gösterir.
volatility -f dump.dmp --profile=ProfileName linux_netstat: Linux ağ bağlantılarını listeler.

Volatility Profil Listesi

WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2003SP0x86
Win2003SP1x86
Win2003SP2x86
Win2003SP1x64
Win2003SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win81U1x86
Win81U1x64
Win10x64
Win2016x64
Win2019x64
Win10x64_14393
Win10x64_15063
Win10x64_16299
Win10x64_17134
Win10x64_17763
Win10x64_18362
Win10x64_18363
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043
Win10x64_19044
Win10x64_19041
Win10x64_19042
Win10x64_19043

#Get enabled privileges of some processes
volatility --profile=Win7SP1x86_23418 privs --pid=3152 -f file.dmp | grep Enabled
#Get all processes with interesting privileges
volatility --profile=Win7SP1x86_23418 privs -f file.dmp | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

SIDs

Her bir işlem tarafından sahip olunan her SSID'yi kontrol edin. Bir ayrıcalıklar SID kullanan işlemleri ve bazı hizmet SIDs kullanan işlemleri listelemek ilginç olabilir.

./vol.py -f file.dmp windows.getsids.GetSIDs [--pid <pid>] #Get SIDs of processes
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

Volatility Cheat Sheet

Basic Commands

Image Identification
- volatility -f <memory_dump> imageinfo
Listing Processes
- volatility -f <memory_dump> --profile=<profile> pslist
Dumping a Process
- volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
Listing Network Connections
- volatility -f <memory_dump> --profile=<profile> connections
Dumping Registry Hives
- volatility -f <memory_dump> --profile=<profile> hivelist
Dumping a Registry Hive
- voljsonity -f <memory_dump> --profile=<profile> printkey -o <output_directory> -K <hive_offset>

Advanced Commands

Analyzing Malware
- volatility -f <memory_dump> --profile=<profile> malfind
Extracting DLLs
- volatility -f <memory_dump> --profile=<profile> dlldump -D <output_directory>
Analyzing Drivers
- volatility -f <memory_dump> --profile=<profile> driverscan
Identifying Hidden Processes
- volatility -f <memory_dump> --profile=<profile> psxview
Analyzing Timelining
- volatility -f <memory_dump> --profile=<profile> timeliner
Dumping LSA Secrets
- volatility -f <memory_dump> --profile=<profile> lsadump
Analyzing Packed Binaries
- volatility -f <memory_dump> --profile=<profile> mpparser
Analyzing TrueCrypt Keys
- volatility -f <memory_dump> --profile=<profile> truecryptmaster
Analyzing BitLocker Keys
- volatility -f <memory_dump> --profile=<profile> bitlockermemorydump
Analyzing Process Memory
- volatility -f <memory_dump> --profile=<profile> memmap
Analyzing User Sessions
- volatility -f <memory_dump> --profile=<profile> sessions
Analyzing Command History
- volatility -f <memory_dump> --profile=<profile> cmdscan
Analyzing Shellbags
- volatility -f <memory_dump> --profile=<profile> shellbags
Analyzing User Accounts
- volatility -f <memory_dump> --profile=<profile> userassist
Analyzing Network Artifacts
- volatility -f <memory_dump> --profile=<profile> netscan
Analyzing Autoruns
- volatility -f <memory_dump> --profile=<profile> autoruns
Analyzing Services
- volatility -f <memory_dump> --profile=<profile> svcscan
Analyzing Mutants
- volatility -f <memory_dump> --profile=<profile> mutantscan
Analyzing Handles
- volatility -f <memory_dump> --profile=<profile> handles
Analyzing Registry
- volatility -f <memory_dump> --profile=<profile> printkey -o <output_directory> -K <registry_key>
Analyizing PEB
- volatility -f <memory_dump> --profile=<profile> psscan
Analyzing VAD
- volatility -f <memory_dump> --profile=<profile> vadinfo
Analyzing SSDT
- volatility -f <memory_dump> --profile=<profile> ssdt
Analyzing GDT
- volatility -f <memory_dump> --profile=<profile> gdt
Analyzing IDT
- volatility -f <memory_dump> --profile=<profile> idt
Analyzing Kernel Modules
- volatility -f <memory_dump> --profile=<profile> modscan
Analyzing Kernel Callbacks
- volatility -f <memory_dump> --profile=<profile> callbacks
Analyzing SSDT Hooks
- volatility -f <memory_dump> --profile=<profile> ssdt
Analyzing IRP Hooks
- volatility -f <memory_dump> --profile=<profile> irp
Analyzing Driver Modules
- volatility -f <memory_dump> --profile=<profile> moddump -D <output_directory>
AnalyAnalyzingzing Driver IRP
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Imports
- volatility -f <memory_dump> --profile=<profile> drivermodule
Analyzing Driver Sections
- volatility -f <memory_dump> --profile=<profile> driverscan
Analyzing Driver Handles
- volatility -f <memory_dump> --profile=<profile> driverhandles
Analyzing Driver Devicetree
- volatility -f <memory_dump> --profile=<profile> devicetree
Analyzing Driver Dispatchers
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Fast I/O
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Services
- volatility -f <memory_dump> --profile=<profile> driverscan
Analyzing Driver Timers
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Ports
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Alpc Ports
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver WMI
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Path
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Key
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Value
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp
Analyzing Driver Registry Data
- volatility -f <memory_dump> --profile=<profile> driverirp

volatility --profile=Win7SP1x86_23418 getsids -f file.dmp #Get the SID owned by each process
volatility --profile=Win7SP1x86_23418 getservicesids -f file.dmp #Get the SID of each service

Kollar

Bir işlemin açtığı diğer dosyalara, anahtarlara, iş parçacıklarına, işlemlere... hangilerine sahip olduğunu bilmek için kullanışlıdır.

vol.py -f file.dmp windows.handles.Handles [--pid <pid>]

Bu hafıza görüntüsü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve bunların kullanım örneklerini içerir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak

volatility --profile=Win7SP1x86_23418 -f file.dmp handles [--pid=<pid>]

DLL'ler

./vol.py -f file.dmp windows.dlllist.DllList [--pid <pid>] #List dlls used by each
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory process

Volatility Cheat Sheet

Basic Commands

Image Identification
- volatility -f <memory_dump> imageinfo
Listing Processes
- volatility -f <memory_dump> --profile=<profile> pslist
Dumping a Process
- volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
Listing DLLs
- volatility -f <memory_dump> --profile=<profile> dlllist -p <pid>
Dumping a DLL
- volatility -f <memory_dump> --profile=<profile> dlldump -p <pid> -D <output_directory>
Listing Sockets
- voljson -f <memory_dump> --profile=<profile> sockets
Network Connections
- volatility -f <memory_dump> --profile=<profile> connections
Registry Analysis
- volatility -f <memory_dump> --profile=<profile> hivelist
Dumping Registry Hive json
- volatility -f <memory_dump> --profile=<profile> printkey -o <offset>
File Analysis
- volatility -f <memory_dump> --profile=<profile> filescan
Dumping a File
- volatility -f <memory_dump> --profile=<profile> dumpfiles -Q <address_range> -D <output_directory>
Kernel Modules
- volatility -f <memory_dump> --profile=<profile> modscan
Driver Modules
- volatility -f <memory_dump> --profile=<profile> driverscan
Process Environment Variables
- volatility -f <memory_dump> --profile=<profile> envars -p <pid>
Command History
- volatility -f <memory_dump> --profile=<profile> cmdscan
User Accounts
- volatility -f <memory_dump> --profile=<profile> getsids
User Account Passwords
- volatility -f <memory_dump> --profile=<profile> hashdump
Screenshots
- volatility -f <memory_dump> --profile=<profile> screenshot -D <output_directory>
Yara Scanning
- volatility -f <memory_dump> --profile=<profile> yarascan --yara-file=<rules_file>
API Hooks
- volatility -f <memory_dump> --profile=<profile> apihooks
Detecting Hidden Processes
- volatility -f <memory_dump> --profile=<profile> psxview
Detecting Hidden Drivers
- volatility -f <memory_dump> --profile=<profile> ldrmodules
Detecting Hidden Objects
- volatility -f <memory_dump> --profile=<profile> hiddeneval
Detecting Rootkits
- volatility -f <memory_dump> --profile=<profile> rootkit
Detecting In-Memory Malware
- volatility -f <memory_dump> --profile=<profile> malfind
Detecting In-Memory Injection
- volatility -f <memory_dump> --profile=<profile> malfind -p <pid>
Detecting In-Memory Strings
- volatility -f <memory_dump> --profile=<profile> strings
Detecting In-Memory Code
- volatility -f <memory_dump> --profile=<profile> mss
Detecting In-Memory Modules
- volatility -f <memory_dump> --profile=<profile> moddump -D <output_directory>
Detecting In-Memory Malicious Processes
- volatility -f <memory_dump> --profile=<profile> malfind
Detecting In-Memory Malicious Drivers
- volatility -f <memory_dump> --profile=<profile> malfind --d
Detecting In-Memory Malicious Modules
- volatility -f <memory_dump> --profile=<profile> malfind --m
Detecting In-Memory Malicious Strings
- volatility -f <memory_dump> --profile=<profile> malfind --s
Detecting In-Memory Malicious Code
- volatility -f <memory_dump> --profile=<profile> malfind --c
Detecting In-Memory Malicious Processes with Yara
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file>
Detecting In-Memory Malicious Processes with Yara Rules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --p
Detecting In-Memory Malicious Drivers with Yara Rules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --d
Detecting In-Memory Malicious Modules with Yara Rules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --m
Detecting In-Memory Malicious Strings with Yara Rules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --s
Detecting In-Memory Malicious Code with Yara Rules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> --c
Detecting In-Memory Malicious Processes with Yara Rules and PID
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid>
Detecting In-Memory Malicious Processes with Yara Rules and Output Directory
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -D <output_directory>
Detecting In-Memory Malicious Processes with Yara Rules, PID, and Output Directory
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory>
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, and Dumping Files
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory>
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, and Strings
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, and API Hooks
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <outputjson_directory> --dump-dir=<dump_directory> --strings --apihooks
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, and Screenshot
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, and Network Connections
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, and Registry Analysis
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, and Kernel Modules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, and Driver Modules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, and Process Environment Variables
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, and Command History
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, and User Accounts
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, and User Account Passwords
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, and Screenshots
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, and Yara Scanning
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, and API Hooks
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, and Screenshots
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, and Yara Scanning
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot --yarascan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, Yara Scanning, and Kernel Modules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot --yarascan --modscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, Yara Scanning, Kernel Modules, and Driver Modules
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot --yarascan --modscan --driverscan
Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, Yara Scanning, Kernel Modules, Driver Modules, and Process Environment Variables
- volatility -f <memory_dump> --profile=<profile> malfind --yara-file=<rules_file> -p <pid> -D <output_directory> --dump-dir=<dump_directory> --strings --apihooks --screenshot --connections --hivelist --modscan --driverscan --envars --cmdscan --getsids --hashdump --screenshot --yarascan --apihooks --screenshot --yarascan --modscan --driverscan --envars
**Detecting In-Memory Malicious Processes with Yara Rules, PID, Output Directory, Dumping Files, Strings, API Hooks, Screenshot, Network Connections, Registry Analysis, Kernel Modules, Driver Modules, Process Environment Variables, Command History, User Accounts, User Account Passwords, Screenshots, Yara Scanning, API Hooks, Screenshots, Yara Sc

volatility --profile=Win7SP1x86_23418 dlllist --pid=3152 -f file.dmp #Get dlls of a proc
volatility --profile=Win7SP1x86_23418 dlldump --pid=3152 --dump-dir=. -f file.dmp #Dump dlls of a proc

Süreçlere Göre Dizgiler

Volatility, bir dizgenin hangi sürece ait olduğunu kontrol etmemize olanak tanır.

strings file.dmp > /tmp/strings.txt
./vol.py -f /tmp/file.dmp windows.strings.Strings --strings-file /tmp/strings.txt

Basit Adli Bilişim Metodolojisi

Hafıza Dökümü Analizi
- Volatility Cheat Sheet
  - Volatility, hafıza dökümlerini analiz etmek için kullanılan bir araçtır.
  - Hafıza döküm analizi, kötü amaçlı yazılım tespiti ve dijital adli bilişim incelemelerinde önemli bir rol oynar.
  - Volatility, Windows, Linux ve macOS işletim sistemlerinde kullanılabilir.
  - Hafıza döküm analizi yaparken, Volatility aracı çeşitli komutlarla kullanılır.
  - Volatility aracının kullanımı, hafıza döküm analizinde hızlı ve etkili sonuçlar elde etmek için önemlidir.

strings file.dmp > /tmp/strings.txt
volatility -f /tmp/file.dmp windows.strings.Strings --string-file /tmp/strings.txt

volatility -f /tmp/file.dmp --profile=Win81U1x64 memdump -p 3532 --dump-dir .
strings 3532.dmp > strings_file

Ayrıca, yarascan modülünü kullanarak bir işlem içinde dize aramaya izin verir:

./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-rules "https://" --pid 3692 3840 3976 3312 3084 2784
./vol.py -f file.dmp yarascan.YaraScan --yara-rules "https://"

Volatility Cheat Sheet

Basic Commands

Image Identification
- volatility -f <memory_dump> imageinfo
Listing Processes
- volatility -f <memory_dump> --profile=<profile> pslist
Dumping a Process
- volatility -f <memory_dump> --profile=<profile> memdump -p <pid> -D <output_directory>
Listing DLLs
- volatility -f <memory_dump> --profile=<profile> dlllist -p <pid>
Listing Sockets
- volvolatility -f <memory_dump> --profile=<profile> sockscan
Network Connections
- volatility -f <memory_dump> --profile=<profile> connections
Registry Analysis
- volatility -f <memory_dump> --profile=<profile> hivelist
Dumping Registry Hive
- volatility -f <memory_dump> --profile=<profile> printkey -o <offset>
Dumping Files
- volatility -f <memory_dump> --profile=<profile> filescan
Dumping a File
- volatility -f <memory_dump> --profile=<profile> dumpfiles -Q <physical_offset> -D <output_directory>
Checking for Rootkits
- volatility -f <memory_dump> --profile=<profile> malfind
Analyzing Malware
- volatility -f <memory_dump> --profile=<profile> malsysproc
Extracting Malicious Executables
- volatility -f <memory_dump> --profile=<profile> procdump -p <pid> -D <output_directory>
Analyzing Drivers
- volatility -f <memory_dump> --profile=<profile> driverscan
Analyzing SSDT
- volatility -f <memory_dump> --profile=<profile> ssdt
Analyzing IDT
- volatility -f <memory_dump> --profile=<profile> idt
Analyzing GDT
- volatility -f <memory_dump> --profile=<profile> gdt
Analyzing LDT
- volatility -f <memory_dump> --profile=<profile> ldt
Analyzing Kernel Modules
- volatility -f <memory_dump> --profile=<profile> modscan
Analyizing Mutants
- volatility -f <memory_dump> --profile=<profile> mutantscan
Analyzing API Hooks
- volatility -f <memory_dump> --profile=<profile> apihooks
Analyzing SSDT Hooks
- volvolatility -f <memory_dump> --profile=<profile> ssdt
Analyzing IRP Hooks
- volatility -f <memory_dump> --profile=<profile> irp
Analyzing Timelining
- volatility -f <memory_dump> --profile=<profile> timeliner
Analyzing PSScan
- volatility -f <memory_dump> --profile=<profile> psscan
Analyzing Yara Rules
- volatility -f <memory_dump> --profile=<profile> yarascan
Analyzing API Audit
- volatility -f <memory_dump> --profile=<profile> apihooks
Analyzing Handles
- volatility -f <memory_dump> --profile=<profile> handles
Analyzing Privileges
- volatility -f <memory_dump> --profile=<profile> privs
Analyzing User Information
- volatility -f <memory_dump> --profile=<profile> getsids
Analyzing User Credentials
- volatility -f <memory_dump> --profile=<profile> hashdump
Analyzing User Tokens
- volatility -f <memory_dump> --profile=<profile> tokens
Analyzing User Sessions
- volatility -f <memory_dump> --profile=<profile> sessions
Analyzing User Profiles
- volatility -f <memory_dump> --profile=<profile> userassist
Analyzing Clipboard
- volatility -f <memory_dump> --profile=<profile> clipboard
Analyzing Shellbags
- volatility -f <memory_dump> --profile=<profile> shellbags
Analyzing TrueCrypt Keys
- volatility -f <memory_dump> --profile=<profile> truecryptmaster
Analyzing BitLocker Keys
- volatility -f <memory_dump> --profile=<profile> bitlockermaster
Analyzing LUKS Keys
- volatility -f <memory_dump> --profile=<profile> luksmeta
Analyzing VeraCrypt Keys
- volatility -f <memory_dump> --profile=<profile> veracryptmaster
Analyzing Chrome History
- volatility -f <memory_dump> --profile=<profile> chromehistory
Analyzing Firefox History
- volatility -f <memory_dump> --profile=<profile> firefoxhistory
Analyzing IE History
- volatility -f <memory_dump> --profile=<profile> iehistory
Analyzing Outlook Mail
- volatility -f <memory_dump> --profile=<profile> outlook
Analyzing Thunderbird Mail
- volatility -f <memory_dump> --profile=<profile> thunderbird
Analyzing Skype Messages
- volatility -f <memory_dump> --profile=<profile> skype
Analyzing Slack Messages
- volatility -f <memory_dump> --profile=<profile> slack
Analyzing Telegram Messages
- volatility -f <memory_dump> --profile=<profile> telegram
Analyzing WhatsApp Messages
- volatility -f <memory_dump> --profile=<profile> whatsapp
Analyzing Signal Messages
- volatility -f <memory_dump> --profile=<profile> signal
Analyzing Discord Messages
- volatility -f <memory_dump> --profile=<profile> discord
Analyzing TeamViewer Artifacts
- volatility -f <memory_dump> --profile=<profile> teamviewer
Analyzing RDP Artifacts
- volatility -f <memory_dump> --profile=<profile> rdp
Analyzing Putty Artifacts
- volatility -f <memory_dump> --profile=<profile> putty
Analyzing VNC Artifacts
- volatility -f <memory_dump> --profile=<profile> vnc
Analyzing WinSCP Artifacts
- volatility -f <memory_dump> --profile=<profile> winscp
Analyzing FileZilla Artifacts
- volatility -f <memory_dump> --profile=<profile> filezilla
Analyzing Cyberduck Artifacts
- volatility -f <memory_dump> --profile=<profile> cyberduck
Analyzing CyberGhost Artifacts
- volatility -f <memory_dump> --profile=<profile> cyberghost
Analyzing NordVPN Artifacts
- volatility -f <memory_dump> --profile=<profile> nordvpn
Analyzing OpenVPN Artifacts
- volatility -f <memory_dump> --profile=<profile> openvpn
Analyzing ProtonVPN Artifacts
- volatility -f <memory_dump> --profile=<profile> protonvpn
Analyzing TunnelBear Artifacts
- volatility -f <memory_dump> --profile=<profile> tunnelbear
Analyzing Wireshark Artifacts
- volatility -f <memory_dump> --profile=<profile> wireshark
Analyzing Network Miner Artifacts
- volatility -f <memory_dump> --profile=<profile> networkminer
Analyzing Maltego Artifacts
- volatility -f <memory_dump> --profile=<profile> maltego
Analyzing Metasploit Artifacts
- volatility -f <memory_dump> --profile=<profile> metasploit
Analyzing Nmap Artifacts
- volatility -f <memory_dump> --profile=<profile> nmap
Analyzing Burp Suite Artifacts
- volatility -f <memory_dump> --profile=<profile> burpsuite
Analyzing Nessus Artifacts
- volatility -f <memory_dump> --profile=<profile> nessus
Analyzing Acunetix Artifacts
- volatility -f <memory_dump> --profile=<profile> acunetix
Analyzing Nikto Artifacts
- volatility -f <memory_dump> --profile=<profile> nikto
Analyzing OpenVAS Artifacts
- volatility -f <memory_dump> --profile=<profile> openvas
Analyzing Qualys Artifacts
- volatility -f <memory_dump> --profile=<profile> qualys
Analyzing Shodan Artifacts
- volatility -f <memory_dump> --profile=<profile> shodan
Analyzing VirusTotal Artifacts
- volatility -f <memory_dump> --profile=<profile> virustotal
Analyzing Cuckoo Sandbox Artifacts
- volatility -f <memory_dump> --profile=<profile> cuckoo
Analyzing Hybrid Analysis Artifacts
- volatility -f <memory_dump> --profile=<profile> hybridanalysis
Analyzing Joe Sandbox Artifacts
- volatility -f <memory_dump> --profile=<profile> joesandbox
Analyzing Any.Run Artifacts
- volatility -f <memory_dump> --profile=<profile> anyrun
Analyzing Falcon Sandbox Artifacts
- volatility -f <memory_dump> --profile=<profile> falconsandbox
Analyzing ThreatConnect Artifacts
- volatility -f <memory_dump> --profile=<profile> threatconnect
Analyzing ThreatStream Artifacts
- volatility -f <memory_dump> --profile=<profile> threatstream
Analyzing AlienVault Artifacts
- volatility -f <memory_dump> --profile=<profile> alienvault
Analyzing Anomali Artifacts
- volatility -f <memory_dump> --profile=<profile> anomali
Analyzing Recorded Future Artifacts
- volatility -f <memory_dump> --profile=<profile> recordedfuture
Analyzing VirusShare Artifacts
- volatility -f <memory_dump> --profile=<profile> virusshare
Analyzing MalwareBazaar Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarebazaar
Analyzing Malware-Traffic-Analysis Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaretrafficanalysis
Analyzing Malware-Config Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareconfig
Analyzing Malware-Hash Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarehash
Analyzing Malware-IOC Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareioc
Analyzing Malware-PCAP Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarepcap
Analyzing Malware-Static-Analysis Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarestaticanalysis
Analyzing Malware-Dynamic-Analysis Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysis
Analyzing Malware-Sandbox-Analysis Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysis
Analyzing Malware-Yara-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareyararules
Analyzing Malware-IOC-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareiocrules
Analyzing Malware-Hash-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarehashrules
Analyzing Malware-PCAP-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarepcaprules
Analyzing Malware-Static-Analysis-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrules
Analyzing Malware-Dynamic-Analysis-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrules
Analyzing Malware-Sandbox-Analysis-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysisrules
Analyzing Malware-Yara-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareyararulesrules
Analyzing Malware-IOC-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareiocrulesrules
Analyzing Malware-Hash-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarehashrulesrules
Analyzing Malware-PCAP-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarepcaprulesrules
Analyzing Malware-Static-Analysis-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrulesrules
Analyzing Malware-Dynamic-Analysis-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrulesrules
Analyzing Malware-Sandbox-Analysis-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysisrulesrules
Analyzing Malware-Yara-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareyararulesrulesrules
Analyzing Malware-IOC-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareiocrulesrulesrules
Analyzing Malware-Hash-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarehashrulesrulesrules
Analyzing Malware-PCAP-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarepcaprulesrulesrules
Analyzing Malware-Static-Analysis-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrulesrulesrules
Analyzing Malware-Dynamic-Analysis-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrulesrulesrules
Analyzing Malware-Sandbox-Analysis-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysisrulesrulesrules
Analyzing Malware-Yara-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareyararulesrulesrulesrules
Analyzing Malware-IOC-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareiocrulesrulesrulesrules
Analyzing Malware-Hash-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarehashrulesrulesrulesrules
Analyzing Malware-PCAP-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarepcaprulesrulesrulesrules
Analyzing Malware-Static-Analysis-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrulesrulesrulesrules
Analyzing Malware-Dynamic-Analysis-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrulesrulesrulesrules
Analyzing Malware-Sandbox-Analysis-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaresandboxanalysisrulesrulesrulesrules
Analyzing Malware-Yara-Rules-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareyararulesrulesrulesrulesrules
Analyzing Malware-IOC-Rules-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwareiocrulesrulesrulesrulesrules
Analyzing Malware-Hash-Rules-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarehashrulesrulesrulesrulesrules
Analyzing Malware-PCAP-Rules-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarepcaprulesrulesrulesrulesrules
Analyzing Malware-Static-Analysis-Rules-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwarestaticanalysisrulesrulesrulesrulesrules
Analyzing Malware-Dynamic-Analysis-Rules-Rules-Rules-Rules-Rules Artifacts
- volatility -f <memory_dump> --profile=<profile> malwaredynamicanalysisrulesrulesrulesrulesrules

volatility --profile=Win7SP1x86_23418 yarascan -Y "https://" -p 3692,3840,3976,3312,3084,2784

UserAssist

Windows, çalıştırdığınız programları UserAssist anahtarları adı verilen bir kayıt özelliğini kullanarak takip eder. Bu anahtarlar her programın kaç kez çalıştırıldığını ve ne zaman en son çalıştırıldığını kaydeder.

./vol.py -f file.dmp windows.registry.userassist.UserAssist

Volatility Hile Kağıdı

Temel Kullanım

Volatility'yi çalıştırın: volatility -f memory_dump.raw <command>
Yardım alın: volatility --help
Profil belirtin: volatility --info | grep Profile
Komutlar listesi: volatility --info | grep -i <plugin>
Komut sonuçlarını kaydedin: volatility -f memory_dump.raw <command> > output.txt

Süreçler

Süreçleri listele: volatility -f memory_dump.raw pslist
Süreç ayrıntıları: volatility -f memory_dump.raw pstree -p <PID>
Süreç bellek haritası: volatility -f memory_dump.raw vad -p <PID>
Süreç bellek dump: volatility -f memory_dump.raw procdump -p <PID> -D <output_directory>

Ağ

Ağ bağlantılarını listele: volatility -f memory_dump.raw netscan
Ağ bağlantıları ayrıntıları: volatility -f memory_dump.raw connscan

Dosya Sistemleri

Dosya sistemi ayrıntıları: volatility -f memory_dump.raw filescan
Dosya sistemi ayrıntıları (rekürsif): volatility -f memory_dump.raw filescan -R
Dosya sistemi dosya ayrıntıları: volatility -f memory_dump.raw filescan | grep -i <file_extension>
Dosya sistemi dosya indirme: volatility -f memory_dump.raw dumpfiles -Q <physical_offset> -D <output_directory>

Kayıt Defteri

Kayıt defteri hives listesi: volatility -f memory_dump.raw hivelist
Kayıt defteri ayrıntıları: volatility -f memory_dump.raw printkey -o <offset>
Kayıt defteri değerleri: volatility -f memory_dump.raw printkey -o <offset> -K <key_name>

Kullanıcılar ve Oturumlar

Kullanıcı hesapları: volatility -f memory_dump.raw hivelist | grep -i sam
Kullanıcı parolaları: volatility -f memory_dump.raw hashdump -y <hive_offset> -s <system_offset> -o <sam_offset>

Diğer Kullanışlı Komutlar

DLL listesi: volatility -f memory_dump.raw dlllist -p <PID>
Rekürsif DLL listesi: volatility -f memory_dump.raw dlllist -p <PID> -r
SSDT: volatility -f memory_dump.raw ssdt
APIHOOK: volatility -f memory_dump.raw apihooks
Çalışan servisler: volatility -f memory_dump.raw svcscan

volatility --profile=Win7SP1x86_23418 -f file.dmp userassist

RootedCONRootedCON

Hizmetler

./vol.py -f file.dmp windows.svcscan.SvcScan #List services
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

Volatility Hile Kağıdı

Volatility Komutları

volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumları hakkında bilgi alır.
volatility -f dump.dmp --profile=ProfileName cmdscan: Komut geçmişini tarar.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ taraması yapar.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName cmdline: Komut satırı argümanlarını listeler.
volatility -f dump.dmp --profile=ProfileName malfind: Şüpheli işlemleri bulur.
volatility -f dump.dmp --profile=ProfileName dlllist: Yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName handles: Açık kolları listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives'ı listeler.
volatility -f dump.dmp --profile=ProfileName userassist: UserAssist verilerini listeler.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini listeler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarar.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri tarar.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri tarar.
volatility -f dump.dmp --profile=ProfileName yarascan: Yara kuralı eşleşmelerini tarar.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q 0xADDRESS -D /path/to/dump/dir/: Belirli bir bellek adresinden dosyaları çıkarır.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump/dir/: Belirli bir işlem belleğini çıkarır.
volatility -f dump.dmp --profile=ProfileName memmap: Bellek haritasını gösterir.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump/dir/: İşlem belleğini çıkarır.
volatility -f dump.dmp --profile=ProfileName screenshot -p PID -D /path/to/dump/dir/: Ekran görüntüsü alır.
volatility -f dump.dmp --profile=ProfileName timeliner: Zaman çizelgesi oluşturur.
volatility -f dump.dmp --profile=ProfileName windows: Windows sürümünü belirler.

Volatility Profil Listesi

WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2003SP0x86
Win2003SP1x86
Win2003SP2x86
Win2003SP1x64
Win2003SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win81SP0x86
Win81SP0x64
Win10x86
Win10x64
Win2016x64
Win2019x64
Win2022x64

Volatility Yararlı Kaynaklar

#Get services and binary path
volatility --profile=Win7SP1x86_23418 svcscan -f file.dmp
#Get name of the services and SID (slow)
volatility --profile=Win7SP1x86_23418 getservicesids -f file.dmp

Ağ

./vol.py -f file.dmp windows.netscan.NetScan
#For network info of linux use volatility2

Volatility Hile Kağıdı

Volatility Komutları

volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName cmdline: İşlem komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName malfind: Şüpheli işlemleri bulur.
volatility -f dump.dmp --profile=ProfileName dlllist: İşlemde yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D output_directory: Belirli bir işlemi bellekten dışa aktarır.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D output_directory: Belirli bir işlem belleğini dışa aktarır.
volatility -f dump.dmp --profile=ProfileName userassist: Kullanıcı etkinliklerini listeler.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives'ı listeler.
volatility -f dump.dmp --profile=ProfileName printkey -o hive_offset -K key: Belirli bir kayıt anahtarını yazdırır.
volatility -f dump.dmp --profile=ProfileName hashdump: Parola karmalarını çözer.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini listeler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri listeler.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini taraması yapar.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName apihooks: API hook'ları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Kernel callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: İşlem kollarını listeler.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutex'leri listeler.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName desktops: Masaüstü nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu taraması yapar.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini

volatility --profile=Win7SP1x86_23418 netscan -f file.dmp
volatility --profile=Win7SP1x86_23418 connections -f file.dmp#XP and 2003 only
volatility --profile=Win7SP1x86_23418 connscan -f file.dmp#TCP connections
volatility --profile=Win7SP1x86_23418 sockscan -f file.dmp#Open sockets
volatility --profile=Win7SP1x86_23418 sockets -f file.dmp#Scanner for tcp socket objects

volatility --profile=SomeLinux -f file.dmp linux_ifconfig
volatility --profile=SomeLinux -f file.dmp linux_netstat
volatility --profile=SomeLinux -f file.dmp linux_netfilter
volatility --profile=SomeLinux -f file.dmp linux_arp #ARP table
volatility --profile=SomeLinux -f file.dmp linux_list_raw #Processes using promiscuous raw sockets (comm between processes)
volatility --profile=SomeLinux -f file.dmp linux_route_cache

Kayıt Hivesi

Mevcut hives'ları yazdır

./vol.py -f file.dmp windows.registry.hivelist.HiveList #List roots
./vol.py -f file.dmp windows.registry.printkey.PrintKey #List roots and get initial subkeys

Bu hafıza görüntüsü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve hafıza analizi için temel metodolojiyi içerir. Bu hile yaprağı, hafıza analizi sırasında kullanılabilecek en önemli komutları ve bunların nasıl kullanılacağını özetler. Ayrıca, hafıza analizi sürecinde izlenmesi gereken temel adımları içerir. Bu hile yaprağı, hafıza analizi sırasında başlangıç noktası olarak kullanılabilir ve daha fazla derinlemesine analiz için temel bir çerçeve sağlar.

volatility --profile=Win7SP1x86_23418 -f file.dmp hivelist #List roots
volatility --profile=Win7SP1x86_23418 -f file.dmp printkey #List roots and get initial subkeys

Bir Değeri Al

./vol.py -f file.dmp windows.registry.printkey.PrintKey --key "Software\Microsoft\Windows NT\CurrentVersion"

Volatility Hile Kağıdı

Volatility Komutları

volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını görselleştirir.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Belirli bir PID'ye sahip işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Açık dosyaları taramak için kullanılır.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName malfind: Hafıza alanında kötü amaçlı yazılım işaretçilerini arar.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Belirli bir PID'ye sahip işlemde yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlemi belleğe döker.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlem belleğini döker.
volatility -f dump.dmp --profile=ProfileName userassist: Kullanıcı etkinliklerini listeler.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives listesini gösterir.
volatility -f dump.dmp --profile=ProfileName printkey -o hiveoffset -K key: Belirli bir kayıt anahtarını yazdırır.
volvolatility -f dump.dmp --profile=ProfileName hashdump: Parolaları çözer.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini listeler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri listeler.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini taramak için kullanılır.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutant nesnelerini listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback fonksiyonlarını listeler.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT fonksiyonlarını listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName gdt: GDT bilgilerini listeler.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName handles: Kullanılan kolları listeler.
volatility -f dump.dmp --profile=ProfileName vadinfo -p PID: Belirli bir PID'ye sahip işlemdeki bellek alanlarını listeler.
volatility -f dump.dmp --profile=ProfileName cmdline: Tüm işlemlerin komut satırlarını gösterir.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName consoles -p PID: Belirli bir PID'ye sahip işlemin konsol oturumunu gösterir.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName envars -p PID: Belirli bir PID'ye sahip işlemin ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName vadtree -p PID: Belirli bir PID'ye sahip işlemdeki bellek alanlarını görselleştirir.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -D /path/to/dump: Belirli bir adres aralığındaki dosyaları döker.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q addressrange -D /path/to/dump --name: Dosyaları isimlendirerek döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump: Registry anahtarlarını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key: Belirli bir kayıt anahtarını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --name: Registry anahtarlarını isimlendirerek döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --value: Registry anahtarlarını ve değerlerini döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --value --name: Registry anahtarlarını ve değerlerini isimlendirerek döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --value --data: Registry anahtarlarını, değerlerini ve verilerini döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D /path/to/dump -o hiveoffset -y key --value --data --name: Registry anahtarlarını, değerlerini ve verilerini isimlendirerek döker.

Volatility Profil Listesi

WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2k3SP0x86
Win2k3SP1x86
Win2k3SP2x86
Win2k3SP1x64
Win2k3SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win2012SP0x64
Win2012SP1x64
Win8.1SP0x86
Win8.1SP0x64
Win8.1SP1x86
Win8.1SP1x64
Win2012R2SP0x64
Win2012R2SP1x64
Win10x64
Win2016x64
Win2019x64
Win10x64
Win2016x64
Win2019x64

Volatility Yardım

volatility --help: Tüm komutları ve seçenekleri listeler.
volatility command --help: Belirli bir komut hakkında yardım bilgilerini gösterir.

---

volatility --profile=Win7SP1x86_23418 printkey -K "Software\Microsoft\Windows NT\CurrentVersion" -f file.dmp
# Get Run binaries registry value
volatility -f file.dmp --profile=Win7SP1x86 printkey -o 0x9670e9d0 -K 'Software\Microsoft\Windows\CurrentVersion\Run'

Döküm

#Dump a hive
volatility --profile=Win7SP1x86_23418 hivedump -o 0x9aad6148 -f file.dmp #Offset extracted by hivelist
#Dump all hives
volatility --profile=Win7SP1x86_23418 hivedump -f file.dmp

Dosya Sistemi

Bağlama

#See vol2

Volatility Hile Kağıdı

Volatility Komutları

volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak Volatility komutlarını çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Belirli bir PID'ye sahip işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName connscan: Ağ bağlantılarını tarama yapar.
volatility -f dump.dmp --profile=ProfileName malfind: Hafıza bölgesinde kötü amaçlı yazılım işaretçilerini arar.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Belirli bir PID'ye sahip işlemde yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlemi bellek dökümü yapar.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlem belleğini döker.
volatility -f dump.dmp --profile=ProfileName userassist: Kullanıcının kullandığı uygulamaları listeler.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives listesini gösterir.
volatility -f dump.dmp --profile=ProfileName printkey -o hiveoffset -K key: Belirli bir kayıt anahtarını yazdırır.
volatility -f dump.dmp --profile=ProfileName hashdump: Parola karmalarını çözer.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini listeler.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri listeler.
volatility -f dump.dmp --profile=ProfileName getservicesids: Hizmet SID'lerini listeler.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarama yapar.
volatility -f dump.dmp --profile=ProfileName moddump -b base -D /path/to/dump: Belirli bir kernel modülünü bellek döker.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü IRP'lerini listeler.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback fonksiyonlarını listeler.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri tarama yapar.
volatility -f dump.dmp --profile=ProfileName svcscan -s ServiceName: Belirli bir hizmeti tarama yapar.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName consoles -s SessionId: Belirli bir oturumu listeler.
volatility -f dump.dmp --profile=ProfileName screenshot -D /path/to/save: Ekran görüntüsü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -p PID -D /path/to/save: Belirli bir PID'ye sahip işlemin ekran görüntüsünü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -s SessionId -D /path/to/save: Belirli bir oturumun ekran görüntüsünü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -a -D /path/to/save: Tüm oturumların ekran görüntülerini alır.
volatility -f dump.dmp --profile=ProfileName screenshot -A -D /path/to/save: Tüm oturumların ekran görüntülerini alır.
volatility -f dump.dmp --profile=ProfileName screenshot -u Username -D /path/to/save: Belirli bir kullanıcının oturumunun ekran görüntüsünü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -U Username -D /path/to/save: Belirli bir kullanıcının oturumunun ekran görüntüsünü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -o Offset -D /path/to/save: Belirli bir bellek ofsetinden ekran görüntüsü alır.
volatility -f dump.dmp --profile=ProfileName screenshot -O Offset -D /path/to/save: Belirli bir bellek ofsetinden ekran görüntüsü alır.

Volatility Profil Listesi

WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2k3SP0x86
Win2k3SP1x86
Win2k3SP2x86
Win2k3SP1x64
Win2k3SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win2012SP0x64
Win2012SP1x64
Win8.1SP0x86
Win8.1SP0x64
Win8.1SP1x86
Win8.1SP1x64
Win2012R2SP0x64
Win2012R2SP1x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win2016x64
Win10x64
Win201

volatility --profile=SomeLinux -f file.dmp linux_mount
volatility --profile=SomeLinux -f file.dmp linux_recover_filesystem #Dump the entire filesystem (if possible)

Tarama/dump

./vol.py -f file.dmp windows.filescan.FileScan #Scan for files inside the dump
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --physaddr <0xAAAAA> #Offset from previous command

Volatility Hile Kağıdı

Genel Kullanım

Volatility'yi çalıştırın: volatility -f memory_dump.raw <command>
Profil belirtin: --profile=<profile>
Çıktıyı dosyaya kaydedin: > output.txt

Temel Komutlar

İşlem listesini görüntüle: pslist
Modülleri listele: modlist
Ağ bağlantılarını görüntüle: netscan
Kayıtlı DLL'leri listele: dlllist
Kullanıcıları listele: userlist
Komut geçmişini görüntüle: cmdscan

Bellek İmzalama

Bellek imzalarını karşılaştır: malfind
SSDT'yi kontrol et: ssdt
API Hook'ları kontrol et: apihooks

Örnek Kullanım

pslist komutu: volatility -f memory_dump.raw --profile=Win7SP1x64 pslist > pslist.txt
malfind komutu: volatility -f memory_dump.raw --profile=Win7SP1x64 malfind > malfind.txt

Daha Fazla Bilgi

Resmi belgeler: Volatility Docs
Komutlar listesi: volatility --info | grep -iE "profile|plugin"

volatility --profile=Win7SP1x86_23418 filescan -f file.dmp #Scan for files inside the dump
volatility --profile=Win7SP1x86_23418 dumpfiles -n --dump-dir=/tmp -f file.dmp #Dump all files
volatility --profile=Win7SP1x86_23418 dumpfiles -n --dump-dir=/tmp -Q 0x000000007dcaa620 -f file.dmp

volatility --profile=SomeLinux -f file.dmp linux_enumerate_files
volatility --profile=SomeLinux -f file.dmp linux_find_file -F /path/to/file
volatility --profile=SomeLinux -f file.dmp linux_find_file -i 0xINODENUMBER -O /path/to/dump/file

Ana Dosya Tablosu

# I couldn't find any plugin to extract this information in volatility3

Bu hafıza görüntüsü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içerir. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işlemlerini içeren bir hile yaprağı bulunmaktadır. Bu hile yaprağı, hafıza görüntüsü analizi sırasında kullanılabilecek temel komutları ve işlemleri hızlı bir şekilde hatırlamak için bir başvuru kaynağı olarak kullanılabilir. Aşağıda, Volatility'nin en yaygın kullanılan komutlarını ve işle

volatility --profile=Win7SP1x86_23418 mftparser -f file.dmp

NTFS dosya sistemi, ana dosya tablosu (MFT) olarak bilinen kritik bir bileşen kullanır. Bu tablo, bir birimdeki her dosya için en az bir girişi içerir ve MFT'yi de kapsar. Her dosya hakkında boyut, zaman damgaları, izinler ve gerçek veriler gibi önemli ayrıntılar, MFT girişlerinin içinde veya bu girişler tarafından referans verilen MFT dışındaki alanlarda kapsanmıştır. Daha fazla ayrıntıya resmi belgelerde ulaşılabilir.

SSL Anahtarları/Sertifikaları

#vol3 allows to search for certificates inside the registry
./vol.py -f file.dmp windows.registry.certificates.Certificates

Volatility Hile Kağıdı

Volatility Komutları

volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName consoles: Açık konsolları listeler.
volatility -f dump.dmp --profile=ProfileName cmdscan: CMD komut geçmişini tarar.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName netscan: Ağdaki açık bağlantıları tarar.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya nesnelerini tarar.
volatility -f dump.dmp --profile=ProfileName handles: Açık kolları listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives listesini alır.
volatility -f dump.dmp --profile=ProfileName userassist: UserAssist verilerini alır.
volatility -f dump.dmp --profile=ProfileName malfind: Potansiyel kötü amaçlı yazılım işaretlerini arar.
volatility -f dump.dmp --profile=ProfileName dlllist: Yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName vadinfo: Bellek alanları hakkında bilgi verir.
volatility -f dump.dmp --profile=ProfileName cmdline: İşlem komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D output_directory: Belirli bir işlemi döker.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D output_directory: Belirli bir işlem belleğini döker.
volatility -f dump.dmp --profile=ProfileName memmap -p PID: İşlem bellek haritasını gösterir.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarar.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini alır.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName apihooks: API hookları bulur.
volatility -f dump.dmp --profile=ProfileName mutantscan: Mutant nesnelerini tarar.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName driverirp: Sürücü ve IRP bilgilerini alır.
volatility -f dump.dmp --profile=ProfileName devicetree: Aygıt ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName ssdt: SSDT tablosunu gösterir.
volatility -f dump.dmp --profile=ProfileName callbacks: Callback fonksiyonlarını listeler.
volatility -f dump.dmp --profile=ProfileName idt: IDT tablosunu gösterir.
volatility -f dump.dmp --profile=ProfileName gdt: GDT tablosunu gösterir.
volatility -f dump.dmp --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.dmp --profile=ProfileName timers: Zamanlayıcıları listeler.
volatility -f dump.dmp --profile=ProfileName modules: Modülleri listeler.
volatility -f dump.dmp --profile=ProfileName atomscan: Atom tablosunu tarar.
volatility -f dump.dmp --profile=ProfileName wndscan: Pencere nesnelerini tarar.
volatility -f dump.dmp --profile=ProfileName envars: Ortam değişkenlerini listeler.
volatility -f dump.dmp --profile=ProfileName userhandles: Kullanıcı kollarını listeler.
volatility -f dump.dmp --profile=ProfileName deskscan: Masaüstü nesnelerini tarar.
volatility -f dump.dmp --profile=ProfileName drivermodule: Sürücü modülünü alır.
volatility -f dump.dmp --profile=ProfileName iehistory: Internet Explorer geçmişini alır.
volatility -f dump.dmp --profile=ProfileName printkey: Registry anahtarını alır.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName yarascan: Yara kuralı uygular.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q address_range -D output_directory: Belirli bellek aralığını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D output_directory: Registry'yi döker.
volatility -f dump.dmp --profile=ProfileName dumpcerts -D output_directory: Sertifikaları döker.
volatility -f dump.dmp --profile=ProfileName dumpfiles -Q address_range -D output_directory: Belirli bellek aralığını döker.
volatility -f dump.dmp --profile=ProfileName dumpregistry -D output_directory: Registry'yi döker.
volatility -f dump.dmp --profile=ProfileName dumpcerts -D output_directory: Sertifikaları döker.

Volatility Profil Listesi

WinXPSP2x86
WinXPSP3x86
WinXPSP2x64
WinXPSP3x64
Win2003SP0x86
Win2003SP1x86
Win2003SP2x86
Win2003SP1x64
Win2003SP2x64
VistaSP0x86
VistaSP0x64
VistaSP1x86
VistaSP1x64
VistaSP2x86
VistaSP2x64
Win2008SP1x86
Win2008SP1x64
Win2008SP2x86
Win2008SP2x64
Win2008R2SP0x64
Win2008R2SP1x64
Win7SP0x86
Win7SP0x64
Win7SP1x86
Win7SP1x64
Win8SP0x86
Win8SP0x64
Win8SP1x86
Win8SP1x64
Win2012SP0x64
Win2012SP1x64
Win2012R2x64
Win10x64
Win2016x64
Win2019x64
Win10x64
Win2016x64
Win2019x64

Volatility Yardım

volatility --help: Tüm komutları ve seçenekleri listeler.
volatility command --help: Belirli bir komut hakkında yardım alır.

#vol2 allos you to search and dump certificates from memory
#Interesting options for this modules are: --pid, --name, --ssl
volatility --profile=Win7SP1x86_23418 dumpcerts --dump-dir=. -f file.dmp

Kötü Amaçlı Yazılım

./vol.py -f file.dmp windows.malfind.Malfind [--dump] #Find hidden and injected code, [dump each suspicious section]
#Malfind will search for suspicious structures related to malware
./vol.py -f file.dmp windows.driverirp.DriverIrp #Driver IRP hook detection
./vol.py -f file.dmp windows.ssdt.SSDT #Check system call address from unexpected addresses

./vol.py -f file.dmp linux.check_afinfo.Check_afinfo #Verifies the operation function pointers of network protocols
./vol.py -f file.dmp linux.check_creds.Check_creds #Checks if any processes are sharing credential structures
./vol.py -f file.dmp linux.check_idt.Check_idt #Checks if the IDT has been altered
./vol.py -f file.dmp linux.check_syscall.Check_syscall #Check system call table for hooks
./vol.py -f file.dmp linux.check_modules.Check_modules #Compares module list to sysfs info, if available
./vol.py -f file.dmp linux.tty_check.tty_check #Checks tty devices for hooks

Volatility Hile Kağıdı

Volatility Komutları

volatility -f dump.dmp imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.dmp --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.dmp --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.dmp --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.dmp --profile=ProfileName cmdline -p PID: Belirli bir PID'ye sahip işlemin komut satırını gösterir.
volatility -f dump.dmp --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.dmp --profile=ProfileName netscan: Ağ bağlantılarını listeler.
volatility -f dump.dmp --profile=ProfileName connections: Ağ bağlantılarını gösterir.
volatility -f dump.dmp --profile=ProfileName connscan: Ağ bağlantılarını tarama yapar.
volatility -f dump.dmp --profile=ProfileName dlllist -p PID: Belirli bir PID'ye sahip işlemde yüklenen DLL'leri listeler.
volatility -f dump.dmp --profile=ProfileName procdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlemi bellek dökümü dosyasına kaydeder.
volatility -f dump.dmp --profile=ProfileName malfind: Hafıza içinde potansiyel kötü amaçlı yazılımları bulur.
volatility -f dump.dmp --profile=ProfileName cmdline: Tüm işlemlerin komut satırlarını gösterir.
volatility -f dump.dmp --profile=ProfileName hivelist: Registry hives listesini gösterir.
volatility -f dump.dmp --profile=ProfileName printkey -o hiveoffset -K key: Belirli bir kayıt anahtarını gösterir.
voljsonality -f dump.dmp --profile=ProfileName dumpregistry -o hiveoffset -D /path/to/dump: Registry anahtarını bellek dökümü dosyasına kaydeder.
volatility -f dump.dmp --profile=ProfileName hashdump: Parola karmalarını çözer.
volatility -f dump.dmp --profile=ProfileName shimcache: Shimcache verilerini analiz eder.
volatility -f dump.dmp --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.dmp --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.dmp --profile=ProfileName userassist: UserAssist verilerini analiz eder.
volatility -f dump.dmp --profile=ProfileName consoles: Konsol oturumlarını listeler.
volatility -f dump.dmp --profile=ProfileName screenshot -D /path/to/save: Ekran görüntüsünü alır ve kaydeder.
volatility -f dump.dmp --profile=ProfileName memdump -p PID -D /path/to/dump: Belirli bir PID'ye sahip işlemin belleğini döker.
volatility -f dump.dmp --profile=ProfileName memmap: Bellek haritasını gösterir.
volatility -f dump.dmp --profile=ProfileName modscan: Kernel modüllerini tarama yapar.
volatility -f dump.dmp --profile=ProfileName moddump -p PID -D /path/to/dump: Belirli bir PID'ye sahip kernel modülünü bellek dökümü dosyasına kaydeder.
volatility -f dump.dmp --profile=ProfileName driverirp: IRP'leri listeler.
volatility -f dump.dmp --profile=ProfileName driverscan: Sürücüleri tarama yapar.
volatility -f dump.dmp --profile=ProfileName svcscan: Hizmetleri tarama yapar.
volatility -f dump.dmp --profile=ProfileName svcscan -t: Başlatılan hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName svcscan -b: Durdurulan hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName svcscan -d: Silinen hizmetleri listeler.
volatility -f dump.dmp --profile=ProfileName yarascan: Yara imzalarını tarama yapar.
volatility -f dump.dmp --profile=ProfileName yarascan -Y "rule.yar": Belirli bir Yara kuralıyla tarama yapar.
volatility -f dump.dmp --profile=ProfileName yarascan -f /path/to/rules.yar: Belirli bir Yara kural dosyasıyla tarama yapar.
volatility -f dump.dmp --profile=ProfileName yarascan -m /path/to/memdump: Bellek dökümü üzerinde Yara taraması yapar.
volatility -f dump.dmp --profile=ProfileName yarascan -p PID: Belirli bir PID'ye sahip işlem üzerinde Yara taraması yapar.
volatility -f dump.dmp --profile=ProfileName yarascan -D /path/to/dump: Bellek dökümü üzerinde Yara taraması yapar.
volatility -f dump.dmp --profile=ProfileName mftparser: Master File Table'ı analiz eder.
volatility -f dump.dmp --profile=ProfileName shimcachemem: Shimcache verilerini bellekten analiz eder.
volatility -f dump.dmp --profile=ProfileName shimcachereg: Shimcache verilerini registry'den analiz eder.
volatility -f dump.dmp --profile=ProfileName shimcacheparse: Shimcache verilerini analiz eder.
volatility -f dump.dmp --profile=ProfileName shimcachestats: Shimcache istatistiklerini gösterir.
volatility -f dump.dmp --profile=ProfileName shimcachetime: Shimcache zaman damgalarını analiz eder.
volatility -f dump.dmp --profile=ProfileName shimcachetimeliner: Shimcache zaman çizelgesini oluşturur.
volatility -f dump.dmp --profile=ProfileName shimcachetimeliner -o /path/to/output: Shimcache zaman çizelgesini belirtilen yola kaydeder.
volatility -f dump.dmp --profile=ProfileName shimcachetimeliner -f /path/to/csv: Shimcache zaman çizelgesini CSV dosyasına kaydeder.
volatility -f dump.dmp --profile=ProfileName shimcachetimeliner -f /path/to/bodyfile: Shimcache zaman çizelgesini Bodyfile'a kaydeder.
volatility -f dump.dmp --profile=ProfileName shimcachetimeliner -f /path/to/csv -o /path/to/output: Shimcache zaman çizelgesini CSV dosyasına ve belirtilen yola kaydeder.
volatility -f dump.dmp --profile=ProfileName shimcachetimeliner -f /path/to/bodyfile -o /path/to/output: Shimcache zaman çizelgesini Bodyfile'a ve belirtilen yola kaydeder.

volatility --profile=Win7SP1x86_23418 -f file.dmp malfind [-D /tmp] #Find hidden and injected code [dump each suspicious section]
volatility --profile=Win7SP1x86_23418 -f file.dmp apihooks #Detect API hooks in process and kernel memory
volatility --profile=Win7SP1x86_23418 -f file.dmp driverirp #Driver IRP hook detection
volatility --profile=Win7SP1x86_23418 -f file.dmp ssdt #Check system call address from unexpected addresses

volatility --profile=SomeLinux -f file.dmp linux_check_afinfo
volatility --profile=SomeLinux -f file.dmp linux_check_creds
volatility --profile=SomeLinux -f file.dmp linux_check_fop
volatility --profile=SomeLinux -f file.dmp linux_check_idt
volatility --profile=SomeLinux -f file.dmp linux_check_syscall
volatility --profile=SomeLinux -f file.dmp linux_check_modules
volatility --profile=SomeLinux -f file.dmp linux_check_tty
volatility --profile=SomeLinux -f file.dmp linux_keyboard_notifiers #Keyloggers

Yara taraması yapma

Bu betiği kullanarak github'dan tüm yara kötü amaçlı yazılım kurallarını indirip birleştirin: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 rules dizinini oluşturun ve betiği çalıştırın. Bu, tüm kötü amaçlı yazılım yara kurallarını içeren malware_rules.yar adlı bir dosya oluşturacaktır.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
#Only Windows
./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-file /tmp/malware_rules.yar
#All
./vol.py -f file.dmp yarascan.YaraScan --yara-file /tmp/malware_rules.yar

Volatility Hile Kağıdı

Temel Kullanım

Volatility'yi çalıştırın: volatility -f memory_dump.raw <command>
Profil belirtin: --profile=<profile>
Çıktıyı dosyaya kaydedin: > output.txt

Genel Komutlar

İşlem Listesi: pslist
Ağ Bağlantıları: netscan
Modüller: modscan
Dosya Sistemleri: mftparser, filescan
Kayıt Defteri: hivelist, printkey, hashdump
Kullanıcılar: getsids, getsid

Örnek Komutlar

İşlem Listesi: volatility -f memory_dump.raw pslist --profile=Win7SP1x64
Ağ Bağlantıları: volatility -f memory_dump.raw netscan --profile=Win7SP1x64
Modüller: volatility -f memory_dump.raw modscan --profile=Win7SP1x64
Dosya Sistemleri: volatility -f memory_dump.raw mftparser --profile=Win7SP1x64
Kayıt Defteri: volatility -f memory_dump.raw hivelist --profile=Win7SP1x64
Kullanıcılar: volatility -f memory_dump.raw getsids --profile=Win7SP1x64

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
volatility --profile=Win7SP1x86_23418 yarascan -y malware_rules.yar -f ch2.dmp | grep "Rule:" | grep -v "Str_Win32" | sort | uniq

MISC

Harici eklentiler

Harici eklentileri kullanmak istiyorsanız, eklentilerle ilgili klasörlerin ilk parametre olarak kullanıldığından emin olun.

./vol.py --plugin-dirs "/tmp/plugins/" [...]

Basit Adli Bilişim Metodolojisi

Hafıza Dökümü Analizi
- Volatility Hile Kağıdı
  - Volatility, hafıza dökümlerini analiz etmek için kullanılan bir çerçevedir.
  - Hafıza dökümü analizi yaparken Volatility'nin temel komutları şunlardır:
    imageinfo: Hafıza dökümü dosyası hakkında genel bilgiler sağlar.
    pslist: İşlem listesini görüntüler.
    pstree: İşlem ağacını görüntüler.
    psscan: Gizli işlemleri tespit etmek için kullanılır.
    dlllist: İşlemde yüklenen DLL'leri listeler.
    cmdline: İşlem komut satırını görüntüler.
    filescan: Bellekteki dosyaları taramak için kullanılır.
    netscan: Ağ bağlantılarını görüntüler.
    connections: Ağ bağlantılarını ayrıntılı olarak görüntüler.
    malfind: Şüpheli bellek alanlarını tespit etmek için kullanılır.
    apihooks: API kancalarını tespit etmek için kullanılır.
    ldrmodules: Yüklenen modülleri listeler.
    modscan: Yüklenen modülleri taramak için kullanılır.
    ssdt: SSDT tablosunu görüntüler.
    callbacks: Geri aramaları görüntüler.
    driverirp: Sürücü ve IRP bilgilerini görüntüler.
    devicetree: Sürücü ağacını görüntüler.
    idt: IDT tablosunu görüntüler.
    gdt: GDT tablosunu görüntüler.
    mutantscan: Mutant nesnelerini taramak için kullanılır.
    svcscan: Hizmetleri taramak için kullanılır.
    userassist: Kullanıcı etkinliklerini görüntüler.
    getsids: SID'leri görüntüler.
    hivelist: Registry hives'ı listeler.
    printkey: Bir kayıt anahtarını görüntüler.
    hashdump: Parola karmalarını görüntüler.
    truecryptmaster: TrueCrypt anahtarlarını görüntüler.
    psxview: Görünür ve gizli işlemleri görüntüler.
    mbrparser: MBR'yi analiz eder.
    malfind: Şüpheli bellek alanlarını tespit etmek için kullanılır.
    apihooks: API kancalarını tespit etmek için kullanılır.
    ldrmodules: Yüklenen modülleri listeler.
    modscan: Yüklenen modülleri taramak için kullanılır.
    ssdt: SSDT tablosunu görüntüler.
    callbacks: Geri aramaları görüntüler.
    driverirp: Sürücü ve IRP bilgilerini görüntüler.
    devicetree: Sürücü ağacını görüntüler.
    idt: IDT tablosunu görüntüler.
    gdt: GDT tablosunu görüntüler.
    mutantscan: Mutant nesnelerini taramak için kullanılır.
    svcscan: Hizmetleri taramak için kullanılır.
    userassist: Kullanıcı etkinliklerini görüntüler.
    getsids: SID'leri görüntüler.
    hivelist: Registry hives'ı listeler.
    printkey: Bir kayıt anahtarını görüntüler.
    hashdump: Parola karmalarını görüntüler.
    truecryptmaster: TrueCrypt anahtarlarını görüntüler.
    psxview: Görünür ve gizli işlemleri görüntüler.
    mbrparser: MBR'yi analiz eder.

volatilitye --plugins="/tmp/plugins/" [...]

Autoruns

Onu https://github.com/tomchop/volatility-autoruns adresinden indirin.

volatility --plugins=volatility-autoruns/ --profile=WinXPSP2x86 -f file.dmp autoruns

Mutexes

./vol.py -f file.dmp windows.mutantscan.MutantScan

Basit Adli Bilişim Metodolojisi

Hafıza Dökümü Analizi
- Volatility Hile Kağıdı
  - Volatility, hafıza dökümlerini analiz etmek için açık kaynaklı bir çerçevedir.
  - Hafıza dökümü analizi yaparken kullanılan temel komutlar:
    imageinfo: Hafıza dökümü dosyası hakkında genel bilgiler sağlar.
    pslist: İşlem listesini görüntüler.
    pstree: İşlem ağacını görüntüler.
    psscan: Gizli işlemleri tespit etmek için tarar.
    dlllist: İşlem belleğinde yüklenen DLL'leri listeler.
    cmdline: İşlem komut satırını görüntüler.
    filescan: Bellekteki dosyaları tarar.
    netscan: Ağ bağlantılarını görüntüler.
    connections: Ağ bağlantılarını detaylı olarak görüntüler.
    malfind: Potansiyel kötü amaçlı yazılım işaretlerini arar.
    apihooks: API kancalarını tespit eder.
    ldrmodules: Yüklenen modülleri listeler.
    modscan: Modülleri tarar.
    ssdt: SSDT tablosunu görüntüler.
    callbacks: Geri aramaları listeler.
    driverirp: Sürücü ve IRP bilgilerini görüntüler.
    devicetree: Sürücü ağacını görüntüler.
    svcscan: Hizmetleri tarar.
    mutantscan: Mutant nesnelerini tarar.
    atomscan: Atom tablosunu tarar.
    shimcache: Shimcache verilerini görüntüler.
    userassist: Kullanıcı etkinliklerini analiz eder.
    getsids: SID'leri görüntüler.
    hivelist: Registry hives'ı listeler.
    printkey: Registry anahtarlarını görüntüler.
    hashdump: Parola hash'lerini çıkarır.
    kdbgscan: KDBG adresini tespit eder.
    gdt: GDT tablosunu görüntüler.
    idt: IDT tablosunu görüntüler.
    ss: Sistem servislerini görüntüler.
    modules: Yüklenen modülleri listeler.
    moddump: Modülü dışa aktarır.
    vaddump: Sanal adres dökümü yapar.
    vadinfo: Sanal adres bilgilerini görüntüler.
    vadtree: Sanal adres ağacını görüntüler.
    vadwalk: Sanal adres yürüyüşü yapar.
    yarascan: Yara kurallarını kullanarak belleği tarar.
    yarascan_file: Yara kurallarını kullanarak dosyaları tarar.
    yarascan_mem: Yara kurallarını kullanarak belleği tarar.
    yarascan_proc: Yara kurallarını kullanarak işlemleri tarar.
    yarascan_all: Yara kurallarını kullanarak tümü üzerinde tarama yapar.
    yara: Yara kurallarını kullanarak tarama yapar.
    malfind: Potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_deep: Derinlemesine potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_inline: İşlem belleğinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_psscan: Psscan sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_pstree: Pstree sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_ssdt: Ssdt sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_apihooks: Apihooks sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_modscan: Modscan sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_moddump: Moddump sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_modload: Modload sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_modunload: Modunload sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_ss: Sistem servislerini tarar.
    malfind_ssdt: Ssdt sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_threads: İşlem ipliklerini tarar.
    malfind_vad: Vad sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtree: Vadtree sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadwalk: Vadwalk sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadinfo: Vadinfo sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vaddump: Vaddump sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadroot: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtag: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtype: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadflags: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadprot: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsize: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadusage: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadowner: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadfile: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsection: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadprot: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsize: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadusage: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadowner: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadfile: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsection: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtag: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtype: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadflags: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadprot: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsize: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadusage: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadowner: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadfile: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsection: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadroot: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtag: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtype: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadflags: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadprot: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsize: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadusage: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadowner: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadfile: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsection: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadroot: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtag: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtype: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadflags: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadprot: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsize: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadusage: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadowner: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadfile: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsection: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadroot: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtag: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtype: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadflags: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadprot: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsize: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadusage: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadowner: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadfile: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsection: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadroot: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtag: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtype: Vadtype sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadflags: Vadflags sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadprot: Vadprot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsize: Vadsize sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadusage: Vadusage sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadowner: Vadowner sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadfile: Vadfile sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadsection: Vadsection sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadroot: Vadroot sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar.
    malfind_vadtag: Vadtag sonuçları üzerinde potansiyel kötü amaçlı yazılım işaretlerini arar

volatility --profile=Win7SP1x86_23418 mutantscan -f file.dmp
volatility --profile=Win7SP1x86_23418 -f file.dmp handles -p <PID> -t mutant

Sembolik Bağlantılar

./vol.py -f file.dmp windows.symlinkscan.SymlinkScan

Basit Adli Bilişim Metodolojisi

Hafıza Dökümü Analizi
- Volatility Hile Kağıdı
  - Volatility, hafıza dökümlerini analiz etmek için kullanılan bir çerçevedir.
  - Hafıza dökümü analizi, kötü amaçlı yazılım tespiti ve dijital delil toplama için önemli bir adımdır.
  - Volatility, Windows, Linux ve macOS gibi çeşitli işletim sistemlerinin hafıza dökümlerini analiz etmek için kullanılabilir.
  - Hafıza dökümü analizi, işletim sistemi belleğindeki süreçler, dosyalar, kayıt defteri ve ağ bağlantıları gibi bilgileri ortaya çıkarabilir.
  - Volatility, hafıza dökümlerini analiz etmek için bir dizi komut ve modül sağlar.
  - Örnek Komutlar:
    volatility -f memory_dump.mem imageinfo
    volatility -f memory_dump.mem pslist
    volatility -f memory_dump.mem filescan

volatility --profile=Win7SP1x86_23418 -f file.dmp symlinkscan

Bash

Bellekten bash geçmişini okumak mümkündür. .bash_history dosyasını da dump edebilirsiniz, ancak devre dışı bırakıldıysa bu volatility modülünü kullanabileceğiniz için sevinirsiniz.

./vol.py -f file.dmp linux.bash.Bash

Temel Adli Bilişim Metodolojisi

Volatility Hile Kağıdı

Volatility Hile Kağıdı
- Volatility, bir hafıza görüntüsü analiz aracıdır.
- Hafıza görüntüsü analizi, kötü amaçlı yazılım analizi ve dijital adli bilişimde yaygın olarak kullanılır.
- Volatility, Windows, Linux, macOS ve Android gibi çeşitli işletim sistemlerinin hafıza görüntülerini analiz etmek için kullanılabilir.
- Volatility, çeşitli hafıza görüntüsü dosya biçimlerini destekler ve çeşitli analiz teknikleri sağlar.
- Volatility, hafıza görüntüsünden bilgi çıkarmak için komut satırı arayüzü kullanır.
- Volatility, hafıza görüntüsünden süreçler, bağlantılar, dosyalar, kayıt defteri girdileri ve daha fazlası gibi çeşitli bilgileri çıkarabilir.
- Volatility, hafıza görüntüsünden kötü amaçlı yazılım tespiti, kötü amaçlı yazılım analizi ve olay yanıtı gibi çeşitli amaçlar için kullanılabilir.
Temel Adli Bilişim Metodolojisi
- Adli bilişim, dijital delillerin toplanması, korunması, analizi ve sunulmasını içeren disiplinler arası bir alandır.
- Adli bilişim metodolojisi, adli bilişim sürecinin adımlarını ve en iyi uygulamalarını tanımlar.
- Temel adli bilişim metodolojisi genellikle aşağıdaki adımları içerir:
  1. Olayın tanımlanması ve planlama
  2. Delillerin toplanması
  3. Delillerin korunması
  4. Delillerin analizi
  5. Bulguların belgelenmesi
  6. Raporlama ve sunum

volatility --profile=Win7SP1x86_23418 -f file.dmp linux_bash

Zaman Çizelgesi

./vol.py -f file.dmp timeLiner.TimeLiner

Bu hafıza dökümü analizi hile yaprağı, Volatility'nin en yaygın kullanılan komutlarını ve bunların kullanım örneklerini içerir. Bu hile yaprağı, hafıza dökümü analizi sırasında kullanılabilecek temel komutları hızlı bir şekilde hatırlamak için kullanışlı bir kaynaktır.

volatility --profile=Win7SP1x86_23418 -f timeliner

Sürücüler

./vol.py -f file.dmp windows.driverscan.DriverScan

Volatility Hile Kağıdı

Temel Volatility Komutları

volatility -f dump.mem imageinfo: Dump dosyası hakkında genel bilgileri alır.
volatility -f dump.mem --profile=ProfileName command: Belirli bir profil kullanarak komut çalıştırır.
volatility -f dump.mem --profile=ProfileName consoles: Konsol oturumları hakkında bilgi alır.
volatility -f dump.mem --profile=ProfileName cmdscan: Komut geçmişini tarar.
volatility -f dump.mem --profile=ProfileName connections: Ağ bağlantılarını listeler.
volatility -f dump.mem --profile=ProfileName pslist: Çalışan işlemleri listeler.
volatility -f dump.mem --profile=ProfileName pstree: İşlem ağacını gösterir.
volatility -f dump.mem --profile=ProfileName filescan: Dosya sistemi taraması yapar.
volatility -f dump.mem --profile=ProfileName netscan: Ağ aktivitesini tarar.
volatility -f dump.mem --profile=ProfileName cmdline: İşlem komut satırlarını gösterir.
volatility -f dump.mem --profile=ProfileName malfind: Şüpheli işlemleri bulur.
volatility -f dump.mem --profile=ProfileName dlllist: İşlemde yüklenen DLL'leri listeler.
volatility -f dump.mem --profile=ProfileName handles: Açık kolları listeler.
volatility -f dump.mem --profile=ProfileName getsids: SID'leri alır.
volatility -f dump.mem --profile=ProfileName hivelist: Registry hives'ı listeler.
volatility -f dump.mem --profile=ProfileName userassist: UserAssist verilerini çözer.
volatility -f dump.mem --profile=ProfileName shimcache: Shimcache verilerini çözer.
volatility -f dump.mem --profile=ProfileName ldrmodules: Yüklenen modülleri listeler.
volatility -f dump.mem --profile=ProfileName modscan: Modülleri tarar.
volatility -f dump.mem --profile=ProfileName mutantscan: Mutex'leri tarar.
volatility -f dump.mem --profile=ProfileName svcscan: Hizmetleri listeler.
volatility -f dump.mem --profile=ProfileName threads: İş parçacıklarını listeler.
volatility -f dump.mem --profile=ProfileName vadinfo: Bellek alanları hakkında bilgi alır.
volatility -f dump.mem --profile=ProfileName vadtree: Bellek alanı ağacını gösterir.
volatility -f dump.mem --profile=ProfileName yarascan: Yara taraması yapar.
volatility -f dump.mem --profile=ProfileName yarascan --yara-file=path/to/rules.yar: Belirli bir Yara kural dosyasını kullanarak tarama yapar.

Volatility Profil Listesi

Windows XP SP2 (x86): WinXPSP2x86
Windows 7 SP0 (x86): Win7SP0x86
Windows 7 SP1 (x86): Win7SP1x86
Windows 7 SP0 (x64): Win7SP0x64
Windows 7 SP1 (x64): Win7SP1x64
Windows 8 (x86): Win8SP0x86
Windows 8.1 (x86): Win81x86
Windows 8 (x64): Win8SP0x64
Windows 8.1 (x64): Win81x64
Windows 10 (x86): Win10x86
Windows 10 (x64): Win10x64

Volatility Yardım

volatility --help: Tüm komutları ve seçenekleri listeler.
volatility command --help: Belirli bir komut hakkında yardım bilgisi sağlar.

Volatility Profil Değiştirme

export VOLATILITY_PROFILE=ProfileName: Çalışma zamanında profil değiştirir.

Volatility Yapılandırma Dosyası

~/.volatilityrc: Volatility yapılandırma dosyasıdır.

Volatility Pluginleri

volatility --plugins=PathToPluginsDir: Özel pluginlerin bulunduğu dizini belirtir.

Volatility Bellek Görüntüsü Analizi

volatility -f dump.mem --profile=ProfileName command: Bellek görüntüsü analizi yapar.

Volatility Yara Taraması

volatility -f dump.mem --profile=ProfileName yarascan --yara-file=path/to/rules.yar: Yara taraması yapar.

Volatility Hata Ayıklama

volatility --debug -f dump.mem imageinfo: Hata ayıklama modunda çalışır.

Volatility İşlem İzleme

volatility --vvv -f dump.mem imageinfo: Ayrıntılı işlem izlemesi yapar.

Volatility Loglama

volatility -f dump.mem imageinfo > output.txt: Çıktıyı bir dosyaya yönlendirir.

Volatility Çıktı Biçimi

volatility -f dump.mem imageinfo --output=json: Çıktıyı JSON biçiminde alır.

Volatility İşlem Filtreleme

volatility -f dump.mem --profile=ProfileName pslist --pid=1234: Belirli bir PID'ye sahip işlemi listeler.

Volatility Bellek Alanı Filtreleme

volatility -f dump.mem --profile=ProfileName vadinfo --address=0x1234567890: Belirli bir bellek adresi hakkında bilgi alır.

Volatility Tarih Aralığı Filtreleme

volatility -f dump.mem --profile=ProfileName pslist --dt <start_date> <end_date>: Belirli bir tarih aralığındaki işlemleri listeler.

Volatility İşlem Adı Filtreleme

volatility -f dump.mem --profile=ProfileName pslist --name=explorer.exe: Belirli bir işlem adına sahip işlemleri listeler.

Volatility Kullanıcı Adı Filtreleme

volatility -f dump.mem --profile=ProfileName pslist --username=JohnDoe: Belirli bir kullanıcı adına sahip işlemleri listeler.

Volatility Komut Satırı Filtreleme

volatility -f dump.mem --profile=ProfileName cmdline --pid=1234: Belirli bir PID'ye sahip işlemin komut satırını gösterir.

Volatility DLL Adı Filtreleme

volatility -f dump.mem --profile=ProfileName dlllist --pid=1234: Belirli bir PID'ye sahip işlemin yüklenen DLL'lerini listeler.

Volatility Dosya Adı Filtreleme

volatility -f dump.mem --profile=ProfileName filescan --name=example.txt: Belirli bir dosya adına sahip dosyaları bulur.

Volatility Ağ Bağlantısı Filtreleme

volatility -f dump.mem --profile=ProfileName netscan --pid=1234: Belirli bir PID'ye sahip işlemin ağ bağlantılarını listeler.

Volatility Hizmet Adı Filtreleme

volatility -f dump.mem --profile=ProfileName svcscan --name=spoolsv.exe: Belirli bir hizmet adına sahip hizmetleri listeler.

Volatility Mutex Adı Filtreleme

volatility -f dump.mem --profile=ProfileName mutantscan --name=MutexName: Belirli bir mutex adına sahip mutex'leri listeler.

Volatility Yara Kuralı Filtreleme

volatility -f dump.mem --profile=ProfileName yarascan --yara-rule=rule_name: Belirli bir Yara kuralına uyan öğeleri bulur.

Volatility Yara Kural Dosyası Filtreleme

volatility -f dump.mem --profile=ProfileName yarascan --yara-file=path/to/rules.yar: Belirli bir Yara kural dosyasını kullanarak tarama yapar.

Volatility Çıktı Filtreleme

volatility -f dump.mem --profile=ProfileName pslist --output=json: Çıktıyı JSON biçiminde alır.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belirtilen dosyaya yazar.

Volatility Çıktı Sıralama

volatility -f dump.mem --profile=ProfileName pslist --output=json --output-file=output.txt: Çıktıyı belir

volatility --profile=Win7SP1x86_23418 -f file.dmp driverscan

Pano Al

#Just vol2
volatility --profile=Win7SP1x86_23418 clipboard -f file.dmp

IE geçmişini al

#Just vol2
volatility --profile=Win7SP1x86_23418 iehistory -f file.dmp

Not defteri metnini al

#Just vol2
volatility --profile=Win7SP1x86_23418 notepad -f file.dmp

Ekran Görüntüsü

#Just vol2
volatility --profile=Win7SP1x86_23418 screenshot -f file.dmp

Ana Önyükleme Kaydı (MBR)

volatility --profile=Win7SP1x86_23418 mbrparser -f file.dmp

Ana Önyükleme Kaydı (MBR), bir depolama ortamının mantıksal bölümlerini yönetmede kritik bir rol oynar ve farklı dosya sistemleri ile yapılandırılmıştır. Sadece bölüm düzeni bilgilerini tutmakla kalmaz, aynı zamanda önyükleme yükleyicisi olarak işlev gören yürütülebilir kodları da içerir. Bu önyükleme yükleyicisi, işletim sisteminin ikinci aşama yükleme sürecini doğrudan başlatır (bkz. ikinci aşama önyükleme yükleyicisi) veya her bölümün hacim önyükleme kaydı (VBR) ile uyum içinde çalışır. Detaylı bilgi için MBR Wikipedia sayfasına başvurun.

Referanslar

RootedCON, İspanya'nın en ilgili siber güvenlik etkinliği ve Avrupa'nın en önemlilerinden biridir. Teknik bilgiyi teşvik etme misyonu ile bu kongre, her disiplindeki teknoloji ve siber güvenlik profesyonelleri için kaynayan bir buluşma noktasıdır.

RootedCONRootedCON

Sıfırdan kahraman olmak için AWS hackleme öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek istiyorsanız ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
The PEASS Family'yi keşfedin, özel NFT'lerimiz koleksiyonumuzu
💬 Discord grubuna veya telegram grubuna katılın veya bizi Twitter 🐦 @hacktricks_live'da takip edin.
Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud github depolarına PR'lar göndererek paylaşın.

PreviousMemory dump analysis NextPartitions/File Systems/Carving

Last updated 1 month ago