Содержание
В предыдущей статье мы подробно рассмотрели использование Volatility. Сегодня рассмотрим часто используемые и популярные плагины Volatility 2.
Еще по теме: Установка Volatility на Kali Linux
Ниже приведены некоторые из наиболее часто используемых плагинов Volatility2.
Плагины для получения информация об ОС
imageinfo
1 2 |
vol.py -f «/путь/к/файлу» imageinfo vol.py -f «/путь/к/файлу» kdbgscan |
Плагины для обработки информации
pslist
1 2 3 4 |
vol.py -f “/path/to/file” ‑‑profile <профиль> pslist vol.py -f “/path/to/file” ‑‑profile <профиль> psscan vol.py -f “/path/to/file” ‑‑profile <профиль> pstree vol.py -f “/path/to/file” ‑‑profile <профиль> psxview |
procdump
1 |
vol.py -f “/path/to/file” ‑‑profile <профиль> procdump -p ‑‑dump-dir=“/путь/к/каталогу” |
memdump
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> memdump -p <PID> ‑‑dump-dir=“/путь/к/каталогу” |
handles
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> handles -p <PID> |
dlls
1 |
vol.py -f “/путь/к/файл” ‑‑profile <профиль> dlllist -p <PID> |
cmdline
1 2 3 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> cmdline vol.py -f “/путь/к/файлу” ‑‑profile <профиль> cmdscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> consoles |
Плагины для получения информации о сети
netscan
1 2 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> netscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> netstat |
1 2 3 4 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> connscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> connections vol.py -f “/путь/к/файлу” ‑‑profile <профиль> sockscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> sockets |
Плагины для работы с реестром
hivelist
1 2 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> hivescan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> hivelist |
printkey
1 2 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> printkey vol.py -f “/путь/к/файлу” ‑‑profile <профиль> printkey -K “Software\Microsoft\Windows\CurrentVersion” |
hivedump
1 |
vol.py -f “/путь/к/файлу” ‑‑profile hivedump -o <offset> |
Плагины для работы с файлами
filescan
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> filescan |
filedump
1 2 3 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу” vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу” -Q <offset> vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу” -p <PID> |
Другие плагины Volatility 2
malfind
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> malfind |
yarascan
1 |
vol.py -f “/путь/к/файлу” yarascan -y “/путь/к/файлу.yar” |
ПОЛЕЗНЫЕ ССЫЛКИ:
- Создание лаборатории для анализа вредоносных файлов
- Дамп оперативной памяти с помощью FTK Imager Windows