Volatility — фреймворк для анализа оперативной памяти. Мы уже рассказывали про использование Volatility для анализа RAM. Сегодня поделюсь списком всех команд для анализа вредоносного ПО в Volatility.
Еще по теме: Популярные плагины Volatility 3
Все команды для анализа вредоносного ПО в Volatility
Volatility — это популярный фреймворк, с открытым исходным кодом, для анализа памяти, который часто используется при анализе вредоносного ПО для извлечения информации из дампов памяти. Инструмент позволяет изучать память работающей или спящей системы и выполнять различные методики анализа для выявления и понимания вредоносной активности.
Вот основные команды в Volatility, которые часто используются при анализе вредоносного ПО:
imageinfo — отображает основную информацию о дампе памяти, такую как профиль, версию операционной системы и уровень обновления.
1 |
volatility -f <дамп_памяти> imageinfo |
pslist — команда выводит список всех запущенных процессов в дампе памяти.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> pslist |
psscan — сканирует процессы в памяти и может быть полезной для обнаружения скрытых или завершенных процессов.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> psscan |
pstree — команда отображает дерево процессов, показывая связи между родительскими и дочерними процессами.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> pstree |
dlllist — выводит список всех загруженных DLL-библиотек для каждого процесса.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> dlllist -p <идентификатор_процесса> |
handles — отображает все открытые дескрипторы (handles) в дампе памяти.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> handles |
cmdscan — сканирует историю командной строки в дампе памяти.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> cmdscan |
getsids — выводит список всех идентификаторов безопасности (SIDs) в дампе памяти.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> getsids |
apihooks — идентифицирует процессы, в которых установлены зацепления API.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> apihooks |
malfind — сканирует внедренный код или потенциально вредоносный код в работающих процессах.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> malfind |
malsysproc — идентифицирует потенциально вредоносные процессы на основе эвристик.
1 |
volatility -f <дамп_памяти> --profile=<имя_профиля> malsysproc |
malfind, malprocfind и malfind2 — эти команды можно использовать вместе для сканирования внедренного кода или вредоносных процессов.
1 2 3 |
volatility -f <дамп_памяти> --profile=<имя_профиля> malfind volatility -f <дамп_памяти> --profile=<имя_профиля> malprocfind volatility -f <дамп_памяти> --profile=<имя_профиля> malfind2 |
Не забудьте заменить <дамп_памяти> путем к вашему файлу дампа памяти и <имя_профиля> на соответствующий профиль для операционной системы и архитектуры дампа памяти.
Это только базовый набор команд; Volatility предоставляет множество дополнительных плагинов и функций для расширенного анализа памяти.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Установка Volatility на Kali Linux
- Популярные плагины Volatility 2
- Как установить Volatility на Windows