Популярные плагины Volatility 2

В предыдущей статье мы подробно рассмотрели использование Volatility. Сегодня рассмотрим часто используемые и популярные плагины Volatility 2.

Еще по теме: Установка Volatility на Kali Linux

Ниже приведены некоторые из наиболее часто используемых плагинов Volatility2.

Плагины для получения информация об ОС

imageinfo

1 2	vol.py -f «/путь/к/файлу» imageinfo vol.py -f «/путь/к/файлу» kdbgscan

Дополнительная информация может быть собрана с помощью kdbgscan, если соответствующий профиль не был найден с помощью imageinfo.

Плагины для обработки информации

pslist

vol.py -f “/path/to/file” ‑‑profile <профиль> pslist

vol.py -f “/path/to/file” ‑‑profile <профиль> psscan

vol.py -f “/path/to/file” ‑‑profile <профиль> pstree

vol.py -f “/path/to/file” ‑‑profile <профиль> psxview

Дополнительные списки процессов с psxview.

procdump

1	vol.py -f “/path/to/file” ‑‑profile <профиль> procdump -p ‑‑dump-dir=“/путь/к/каталогу”

Выводит только указанный PID (или все, если не указано)

memdump

1	vol.py -f “/путь/к/файлу” ‑‑profile <профиль> memdump -p <PID> ‑‑dump-dir=“/путь/к/каталогу”

handles

1	vol.py -f “/путь/к/файлу” ‑‑profile <профиль> handles -p <PID>

dlls

1	vol.py -f “/путь/к/файл” ‑‑profile <профиль> dlllist -p <PID>

PID, командная строка, база, размер, количество загрузок, время загрузки, путь.

cmdline

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> cmdline

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> cmdscan

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> consoles

Имя процесса, PID, командная строка; cmdscan включает приложение, параметры, дескриптор процесса; consoles содержит список C:\, исходные заголовки, позицию на экране и информацию об истории команд.

Плагины для получения информации о сети

netscan

1 2	vol.py -f “/путь/к/файлу” ‑‑profile <профиль> netscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> netstat

ХР/2003

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> connscan

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> connections

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> sockscan

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> sockets

Плагины для работы с реестром

hivelist

1 2	vol.py -f “/путь/к/файлу” ‑‑profile <профиль> hivescan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> hivelist

printkey

1 2	vol.py -f “/путь/к/файлу” ‑‑profile <профиль> printkey vol.py -f “/путь/к/файлу” ‑‑profile <профиль> printkey -K “Software\Microsoft\Windows\CurrentVersion”

hivedump

1	vol.py -f “/путь/к/файлу” ‑‑profile hivedump -o <offset>

Плагины для работы с файлами

filescan

1	vol.py -f “/путь/к/файлу” ‑‑profile <профиль> filescan

filedump

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу”

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу” -Q <offset>

vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу” -p <PID>

Другие плагины Volatility 2

malfind

1	vol.py -f “/путь/к/файлу” ‑‑profile <профиль> malfind

PID, имя процесса, адрес, теги VAD, шестнадцатеричный дамп и шеллкод.

yarascan

1	vol.py -f “/путь/к/файлу” yarascan -y “/путь/к/файлу.yar”

Мы рассмотрели наиболее часто используемые плагины Volatility 2. В следующий раз рассмотрим популярные плагины Volatility 3.

ПОЛЕЗНЫЕ ССЫЛКИ:

ВКонтакте

Twitter

Facebook

Viber

SPY-SOFT.NET кто владеет информацией, тот владеет миром