- Плагины для получения информация об ОС
- imageinfo
- Плагины для обработки информации
- pslist
- procdump
- memdump
- handles
- dlls
- cmdline
- Плагины для получения информации о сети
- netscan
- Плагины для работы с реестром
- hivelist
- printkey
- hivedump
- Плагины для работы с файлами
- filescan
- filedump
- Другие плагины Volatility 3
- malfind
- yarascan
Мы уже рассказывали про использование Volatility и рассматривали популярные плагины Volatility 2 Сегодня рассмотрим часто используемые плагины Volatility 3.
Еще по теме: Как установить Volatility на Kali Linux
Ниже приведены некоторые из наиболее часто используемых плагинов Volatility2.
Плагины для получения информация об ОС
imageinfo
|
1 |
vol.py -f “/путь/к/файлу” windows.info |
Включает определение x32/x64, основные и дополнительные версии ОС и информацию kdbg.
Плагины для обработки информации
pslist
|
1 2 3 |
vol.py -f “/путь/к/файлу” windows.pslist vol.py -f “/путь/к/файлу” windows.psscan vol.py -f “/путь/к/файлу” windows.pstree |
Не включает прямой эквивалент psxview.
procdump
|
1 |
vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑pid <PID> |
Просто выводит указанный PID (или все, если не указано).
memdump
|
1 |
vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.memmap ‑‑dump ‑‑pid <PID> |
handles
|
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> handles -p <PID> |
dlls
|
1 |
vol.py -f “/путь/к/файлу” windows.dlllist ‑‑pid <PID> |
PID, процесс, база, размер, имя, путь, время загрузки, выходной файл.
cmdline
|
1 |
vol.py -f “/путь/к/файлу” windows.cmdline |
PID, имя процесса, аргументы.
Плагины для получения информации о сети
netscan
|
1 2 |
vol.py -f “/путь/к/файлу” windows.netscan vol.py -f “/путь/к/файлу” windows.netstat |
Специальные плагины для XP/2003 устарели и поэтому недоступны в Volatility 3.
Плагины для работы с реестром
hivelist
|
1 2 |
vol.py -f “/путь/к/файлу” windows.registry.hivescan vol.py -f “/путь/к/файлу” windows.registry.hivelist |
printkey
|
1 2 |
vol.py -f “/путь/к/файлу” windows.registry.printkey vol.py -f “/путь/к/файлу” windows.registry.printkey ‑‑key “Software\Microsoft\Windows\CurrentVersion” |
hivedump
Я не уверен, есть ли такая возможность в Volatility 3, но вы можете извлечь кусты реестра, используя дамп файла со смещением.
Плагины для работы с файлами
filescan
|
1 |
vol.py -f “/путь/к/файлу” windows.filescan |
filedump
|
1 2 3 |
vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑virtaddr <offset> vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑physaddr <offset> |
Другие плагины Volatility 3
malfind
|
1 |
vol.py -f “/путь/к/файлу” windows.malfind |
PID, имя процесса, запуск процесса, защита, вывод файла, дизассемблирование шестнадцатеричного дампа.
yarascan
|
1 2 3 |
vol.py -f “/путь/к/файлу” windows.vadyarascan ‑‑yara-rules <string> vol.py -f “/путь/к/файлу” windows.vadyarascan ‑‑yara-file “/путь/к/файлу.yar” vol.py -f “/путь/к/файлу” yarascan.yarascan ‑‑yara-file “/путь/к/файлу.yar” |
Мы рассмотрели наиболее часто используемые плагины Volatility 3. Надеюсь статья была полезна.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Как создать лаборатории для анализа вирусов
- Дамп RAM с помощью FTK Imager на Kali Linux
- Дамп оперативной памяти с помощью FTK Imager Windows
