- Плагины для получения информация об ОС
- imageinfo
- Плагины для обработки информации
- pslist
- procdump
- memdump
- handles
- dlls
- cmdline
- Плагины для получения информации о сети
- netscan
- Плагины для работы с реестром
- hivelist
- printkey
- hivedump
- Плагины для работы с файлами
- filescan
- filedump
- Другие плагины Volatility 2
- malfind
- yarascan
В предыдущей статье мы подробно рассмотрели использование Volatility. Сегодня рассмотрим часто используемые и популярные плагины Volatility 2.
Еще по теме: Установка Volatility на Kali Linux
Ниже приведены некоторые из наиболее часто используемых плагинов Volatility2.
Плагины для получения информация об ОС
imageinfo
1 2 |
vol.py -f «/путь/к/файлу» imageinfo vol.py -f «/путь/к/файлу» kdbgscan |
Дополнительная информация может быть собрана с помощью kdbgscan, если соответствующий профиль не был найден с помощью imageinfo.
Плагины для обработки информации
pslist
1 2 3 4 |
vol.py -f “/path/to/file” ‑‑profile <профиль> pslist vol.py -f “/path/to/file” ‑‑profile <профиль> psscan vol.py -f “/path/to/file” ‑‑profile <профиль> pstree vol.py -f “/path/to/file” ‑‑profile <профиль> psxview |
Дополнительные списки процессов с psxview.
procdump
1 |
vol.py -f “/path/to/file” ‑‑profile <профиль> procdump -p ‑‑dump-dir=“/путь/к/каталогу” |
Выводит только указанный PID (или все, если не указано)
memdump
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> memdump -p <PID> ‑‑dump-dir=“/путь/к/каталогу” |
handles
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> handles -p <PID> |
dlls
1 |
vol.py -f “/путь/к/файл” ‑‑profile <профиль> dlllist -p <PID> |
PID, командная строка, база, размер, количество загрузок, время загрузки, путь.
cmdline
1 2 3 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> cmdline vol.py -f “/путь/к/файлу” ‑‑profile <профиль> cmdscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> consoles |
Имя процесса, PID, командная строка; cmdscan включает приложение, параметры, дескриптор процесса; consoles содержит список C:\, исходные заголовки, позицию на экране и информацию об истории команд.
Плагины для получения информации о сети
netscan
1 2 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> netscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> netstat |
ХР/2003
1 2 3 4 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> connscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> connections vol.py -f “/путь/к/файлу” ‑‑profile <профиль> sockscan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> sockets |
Плагины для работы с реестром
hivelist
1 2 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> hivescan vol.py -f “/путь/к/файлу” ‑‑profile <профиль> hivelist |
printkey
1 2 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> printkey vol.py -f “/путь/к/файлу” ‑‑profile <профиль> printkey -K “Software\Microsoft\Windows\CurrentVersion” |
hivedump
1 |
vol.py -f “/путь/к/файлу” ‑‑profile hivedump -o <offset> |
Плагины для работы с файлами
filescan
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> filescan |
filedump
1 2 3 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу” vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу” -Q <offset> vol.py -f “/путь/к/файлу” ‑‑profile <профиль> dumpfiles ‑‑dump-dir=“/путь/к/каталогу” -p <PID> |
Другие плагины Volatility 2
malfind
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> malfind |
PID, имя процесса, адрес, теги VAD, шестнадцатеричный дамп и шеллкод.
yarascan
1 |
vol.py -f “/путь/к/файлу” yarascan -y “/путь/к/файлу.yar” |
Мы рассмотрели наиболее часто используемые плагины Volatility 2. В следующий раз рассмотрим популярные плагины Volatility 3.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Создание лаборатории для анализа вредоносных файлов
- Дамп оперативной памяти с помощью FTK Imager Windows