Популярные плагины Volatility 3

Мы уже рассказывали про использование Volatility и рассматривали популярные плагины Volatility 2 Сегодня рассмотрим часто используемые плагины Volatility 3.

Еще по теме: Как установить Volatility на Kali Linux

Ниже приведены некоторые из наиболее часто используемых плагинов Volatility2.

Плагины для получения информация об ОС

imageinfo

1	vol.py -f “/путь/к/файлу” windows.info

Включает определение x32/x64, основные и дополнительные версии ОС и информацию kdbg.

Плагины для обработки информации

pslist

vol.py -f “/путь/к/файлу” windows.pslist

vol.py -f “/путь/к/файлу” windows.psscan

vol.py -f “/путь/к/файлу” windows.pstree

Не включает прямой эквивалент psxview.

procdump

1	vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑pid <PID>

Просто выводит указанный PID (или все, если не указано).

memdump

1	vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.memmap ‑‑dump ‑‑pid <PID>

handles

1	vol.py -f “/путь/к/файлу” ‑‑profile <профиль> handles -p <PID>

dlls

1	vol.py -f “/путь/к/файлу” windows.dlllist ‑‑pid <PID>

PID, процесс, база, размер, имя, путь, время загрузки, выходной файл.

cmdline

1	vol.py -f “/путь/к/файлу” windows.cmdline

PID, имя процесса, аргументы.

Плагины для получения информации о сети

netscan

1 2	vol.py -f “/путь/к/файлу” windows.netscan vol.py -f “/путь/к/файлу” windows.netstat

Специальные плагины для XP/2003 устарели и поэтому недоступны в Volatility 3.

Плагины для работы с реестром

hivelist

1 2	vol.py -f “/путь/к/файлу” windows.registry.hivescan vol.py -f “/путь/к/файлу” windows.registry.hivelist

printkey

1 2	vol.py -f “/путь/к/файлу” windows.registry.printkey vol.py -f “/путь/к/файлу” windows.registry.printkey ‑‑key “Software\Microsoft\Windows\CurrentVersion”

hivedump

Я не уверен, есть ли такая возможность в Volatility 3, но вы можете извлечь кусты реестра, используя дамп файла со смещением.

Плагины для работы с файлами

filescan

1	vol.py -f “/путь/к/файлу” windows.filescan

filedump

vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles

vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑virtaddr <offset>

vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑physaddr <offset>

Другие плагины Volatility 3

malfind

1	vol.py -f “/путь/к/файлу” windows.malfind

PID, имя процесса, запуск процесса, защита, вывод файла, дизассемблирование шестнадцатеричного дампа.

yarascan

vol.py -f “/путь/к/файлу” windows.vadyarascan ‑‑yara-rules <string>

vol.py -f “/путь/к/файлу” windows.vadyarascan ‑‑yara-file “/путь/к/файлу.yar”

vol.py -f “/путь/к/файлу” yarascan.yarascan ‑‑yara-file “/путь/к/файлу.yar”

Мы рассмотрели наиболее часто используемые плагины Volatility 3. Надеюсь статья была полезна.

ПОЛЕЗНЫЕ ССЫЛКИ:

ВКонтакте

Twitter

Facebook

Viber

SPY-SOFT.NET кто владеет информацией, тот владеет миром