Содержание
Мы уже рассказывали про использование Volatility и рассматривали популярные плагины Volatility 2 Сегодня рассмотрим часто используемые плагины Volatility 3.
Еще по теме: Как установить Volatility на Kali Linux
Ниже приведены некоторые из наиболее часто используемых плагинов Volatility2.
Плагины для получения информация об ОС
imageinfo
1 |
vol.py -f “/путь/к/файлу” windows.info |
Плагины для обработки информации
pslist
1 2 3 4 |
vol.py -f “/путь/к/файлу” windows.pslist vol.py -f “/путь/к/файлу” windows.psscan vol.py -f “/путь/к/файлу” windows.pstree |
procdump
1 |
vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑pid <PID> |
memdump
1 |
vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.memmap ‑‑dump ‑‑pid <PID> |
handles
1 |
vol.py -f “/путь/к/файлу” ‑‑profile <профиль> handles -p <PID> |
dlls
1 |
vol.py -f “/путь/к/файлу” windows.dlllist ‑‑pid <PID> |
cmdline
1 |
vol.py -f “/путь/к/файлу” windows.cmdline |
Плагины для получения информации о сети
netscan
1 2 |
vol.py -f “/путь/к/файлу” windows.netscan vol.py -f “/путь/к/файлу” windows.netstat |
Плагины для работы с реестром
hivelist
1 2 |
vol.py -f “/путь/к/файлу” windows.registry.hivescan vol.py -f “/путь/к/файлу” windows.registry.hivelist |
printkey
1 2 |
vol.py -f “/путь/к/файлу” windows.registry.printkey vol.py -f “/путь/к/файлу” windows.registry.printkey ‑‑key “Software\Microsoft\Windows\CurrentVersion” |
hivedump
Я не уверен, есть ли такая возможность в Volatility 3, но вы можете извлечь кусты реестра, используя дамп файла со смещением.
Плагины для работы с файлами
filescan
1 |
vol.py -f “/путь/к/файлу” windows.filescan |
filedump
1 2 3 |
vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑virtaddr <offset> vol.py -f “/путь/к/файлу” -o “/путь/к/каталогу” windows.dumpfiles ‑‑physaddr <offset> |
Другие плагины Volatility 3
malfind
1 |
vol.py -f “/путь/к/файлу” windows.malfind |
yarascan
1 2 3 |
vol.py -f “/путь/к/файлу” windows.vadyarascan ‑‑yara-rules <string> vol.py -f “/путь/к/файлу” windows.vadyarascan ‑‑yara-file “/путь/к/файлу.yar” vol.py -f “/путь/к/файлу” yarascan.yarascan ‑‑yara-file “/путь/к/файлу.yar” |
ПОЛЕЗНЫЕ ССЫЛКИ:
- Как создать лаборатории для анализа вирусов
- Дамп RAM с помощью FTK Imager на Kali Linux
- Дамп оперативной памяти с помощью FTK Imager Windows