diff --git a/SUMMARY.md b/SUMMARY.md
index 04f20b962..cff3ab9ad 100644
--- a/SUMMARY.md
+++ b/SUMMARY.md
@@ -9,43 +9,19 @@
## 🤩 Generic Methodologies & Resources
-* [Pentesting Methodology](generic-methodologies-and-resources/pentesting-methodology.md)
-* [External Recon Methodology](generic-methodologies-and-resources/external-recon-methodology/README.md)
- * [Wide Source Code Search](generic-methodologies-and-resources/external-recon-methodology/wide-source-code-search.md)
- * [Github Dorks & Leaks](generic-methodologies-and-resources/external-recon-methodology/github-leaked-secrets.md)
-* [Pentesting Network](generic-methodologies-and-resources/pentesting-network/README.md)
- * [DHCPv6](generic-methodologies-and-resources/pentesting-network/dhcpv6.md)
- * [EIGRP Attacks](generic-methodologies-and-resources/pentesting-network/eigrp-attacks.md)
- * [GLBP & HSRP Attacks](generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md)
- * [IDS and IPS Evasion](generic-methodologies-and-resources/pentesting-network/ids-evasion.md)
- * [Lateral VLAN Segmentation Bypass](generic-methodologies-and-resources/pentesting-network/lateral-vlan-segmentation-bypass.md)
- * [Network Protocols Explained (ESP)](generic-methodologies-and-resources/pentesting-network/network-protocols-explained-esp.md)
- * [Nmap Summary (ESP)](generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md)
- * [Pentesting IPv6](generic-methodologies-and-resources/pentesting-network/pentesting-ipv6.md)
- * [Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks](generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)
- * [Spoofing SSDP and UPnP Devices with EvilSSDP](generic-methodologies-and-resources/pentesting-network/spoofing-ssdp-and-upnp-devices.md)
-* [Pentesting Wifi](generic-methodologies-and-resources/pentesting-wifi/README.md)
- * [Evil Twin EAP-TLS](generic-methodologies-and-resources/pentesting-wifi/evil-twin-eap-tls.md)
-* [Phishing Methodology](generic-methodologies-and-resources/phishing-methodology/README.md)
- * [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md)
- * [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md)
- * [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md)
* [Basic Forensic Methodology](forensics/basic-forensic-methodology/README.md)
* [Baseline Monitoring](forensics/basic-forensic-methodology/file-integrity-monitoring.md)
* [Anti-Forensic Techniques](forensics/basic-forensic-methodology/anti-forensic-techniques.md)
* [Docker Forensics](forensics/basic-forensic-methodology/docker-forensics.md)
- * [Image Acquisition & Mount](generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md)
* [Linux Forensics](forensics/basic-forensic-methodology/linux-forensics.md)
* [Malware Analysis](forensics/basic-forensic-methodology/malware-analysis.md)
* [Memory dump analysis](forensics/basic-forensic-methodology/memory-dump-analysis/README.md)
- * [Volatility - CheatSheet](generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md)
* [Partitions/File Systems/Carving](forensics/basic-forensic-methodology/partitions-file-systems-carving/README.md)
* [EXT](forensics/basic-forensic-methodology/partitions-file-systems-carving/ext.md)
* [File/Data Carving & Recovery Tools](forensics/basic-forensic-methodology/partitions-file-systems-carving/file-data-carving-recovery-tools.md)
* [NTFS](forensics/basic-forensic-methodology/partitions-file-systems-carving/ntfs.md)
* [Pcap Inspection](forensics/basic-forensic-methodology/pcap-inspection/README.md)
* [DNSCat pcap analysis](forensics/basic-forensic-methodology/pcap-inspection/dnscat-exfiltration.md)
- * [Suricata & Iptables cheatsheet](generic-methodologies-and-resources/basic-forensic-methodology/pcap-inspection/suricata-and-iptables-cheatsheet.md)
* [USB Keystrokes](forensics/basic-forensic-methodology/pcap-inspection/usb-keystrokes.md)
* [Wifi Pcap Analysis](forensics/basic-forensic-methodology/pcap-inspection/wifi-pcap-analysis.md)
* [Wireshark tricks](forensics/basic-forensic-methodology/pcap-inspection/wireshark-tricks.md)
@@ -62,25 +38,6 @@
* [Windows Artifacts](forensics/basic-forensic-methodology/windows-forensics/README.md)
* [Windows Processes](forensics/basic-forensic-methodology/windows-forensics/windows-processes.md)
* [Interesting Windows Registry Keys](forensics/basic-forensic-methodology/windows-forensics/interesting-windows-registry-keys.md)
-* [Brute Force - CheatSheet](generic-methodologies-and-resources/brute-force.md)
-* [Python Sandbox Escape & Pyscript](generic-methodologies-and-resources/python/README.md)
- * [Pyscript](generic-methodologies-and-resources/python/pyscript.md)
- * [Basic Python](generic-methodologies-and-resources/python/basic-python.md)
- * [Class Pollution (Python's Prototype Pollution)](generic-methodologies-and-resources/python/class-pollution-pythons-prototype-pollution.md)
- * [venv](generic-methodologies-and-resources/python/venv.md)
- * [Bypass Python sandboxes](generic-methodologies-and-resources/python/bypass-python-sandboxes/README.md)
- * [LOAD\_NAME / LOAD\_CONST opcode OOB Read](generic-methodologies-and-resources/python/bypass-python-sandboxes/load\_name-load\_const-opcode-oob-read.md)
- * [Output Searching Python internals](generic-methodologies-and-resources/python/bypass-python-sandboxes/output-searching-python-internals.md)
- * [Web Requests](generic-methodologies-and-resources/python/web-requests.md)
- * [Bruteforce hash (few chars)](generic-methodologies-and-resources/python/bruteforce-hash-few-chars.md)
-* [Exfiltration](generic-methodologies-and-resources/exfiltration.md)
-* [Tunneling and Port Forwarding](generic-methodologies-and-resources/tunneling-and-port-forwarding.md)
-* [Search Exploits](generic-methodologies-and-resources/search-exploits.md)
-* [Shells (Linux, Windows, MSFVenom)](generic-methodologies-and-resources/shells/README.md)
- * [MSFVenom - CheatSheet](generic-methodologies-and-resources/shells/msfvenom.md)
- * [Shells - Windows](generic-methodologies-and-resources/shells/windows.md)
- * [Shells - Linux](generic-methodologies-and-resources/shells/linux.md)
- * [Full TTYs](generic-methodologies-and-resources/shells/full-ttys.md)
## 🦅 Reversing & Exploiting
diff --git a/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md b/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
deleted file mode 100644
index ed1e1cdbb..000000000
--- a/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
+++ /dev/null
@@ -1,131 +0,0 @@
-# Adquisición e Instalación de Imágenes
-
-
-
-☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
-* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
-* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
-* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-* **Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
-
-
-
-## Adquisición
-
-### DD
-```bash
-#This will generate a raw copy of the disk
-dd if=/dev/sdb of=disk.img
-```
-### dcfldd
-
-dcfldd es una herramienta de adquisición de imágenes forenses que se utiliza para crear imágenes bit a bit de dispositivos de almacenamiento. Es una versión mejorada de la herramienta dd y tiene algunas características adicionales, como la capacidad de mostrar el progreso de la imagen y la verificación de la imagen después de la creación.
-
-dcfldd se puede utilizar para adquirir imágenes de discos duros, dispositivos USB, tarjetas SD y otros dispositivos de almacenamiento. También se puede utilizar para crear imágenes de particiones individuales en un disco duro.
-
-Para utilizar dcfldd, primero debe instalarlo en su sistema. Luego, puede ejecutar el comando dcfldd con los parámetros adecuados para crear una imagen de un dispositivo de almacenamiento. Por ejemplo, para crear una imagen de un disco duro llamado /dev/sda y guardarla en un archivo llamado imagen.dd, puede ejecutar el siguiente comando:
-
-```
-dcfldd if=/dev/sda of=imagen.dd
-```
-
-Una vez que se ha creado la imagen, se puede montar en un sistema de archivos para examinar su contenido.
-```bash
-#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)
-dcfldd if= of= bs=512 hash= hashwindow= hashlog=
-dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes
-```
-### FTK Imager
-
-Puedes [**descargar FTK Imager desde aquí**](https://accessdata.com/product-download/debian-and-ubuntu-x64-3-1-1).
-```bash
-ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --description 'A description' --examiner 'Your name'
-```
-### EWF
-
-Puedes generar una imagen de disco usando las herramientas de **ewf**.
-```bash
-ewfacquire /dev/sdb
-#Name: evidence
-#Case number: 1
-#Description: A description for the case
-#Evidence number: 1
-#Examiner Name: Your name
-#Media type: fixed
-#Media characteristics: physical
-#File format: encase6
-#Compression method: deflate
-#Compression level: fast
-
-#Then use default values
-#It will generate the disk image in the current directory
-```
-## Montaje
-
-### Varios tipos
-
-En **Windows** puedes intentar usar la versión gratuita de Arsenal Image Mounter ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)) para **montar la imagen forense**.
-
-### Raw
-```bash
-#Get file type
-file evidence.img
-evidence.img: Linux rev 1.0 ext4 filesystem data, UUID=1031571c-f398-4bfb-a414-b82b280cf299 (extents) (64bit) (large files) (huge files)
-
-#Mount it
-mount evidence.img /mnt
-```
-### EWF
-
-EWF (Expert Witness Compression Format) es un formato de imagen forense que permite la compresión de imágenes forenses sin pérdida de datos. EWF es compatible con varias herramientas forenses y es especialmente útil para la adquisición de imágenes de discos duros grandes. EWF también permite la creación de imágenes segmentadas, lo que significa que una imagen grande se divide en varias partes más pequeñas para facilitar su manejo.
-```bash
-#Get file type
-file evidence.E01
-evidence.E01: EWF/Expert Witness/EnCase image file format
-
-#Transform to raw
-mkdir output
-ewfmount evidence.E01 output/
-file output/ewf1
-output/ewf1: Linux rev 1.0 ext4 filesystem data, UUID=05acca66-d042-4ab2-9e9c-be813be09b24 (needs journal recovery) (extents) (64bit) (large files) (huge files)
-
-#Mount
-mount output/ewf1 -o ro,norecovery /mnt
-```
-### ArsenalImageMounter
-
-Es una aplicación de Windows para montar volúmenes. Puedes descargarla aquí [https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)
-
-### Errores
-
-* **`cannot mount /dev/loop0 read-only`** en este caso necesitas usar las banderas **`-o ro,norecovery`**
-* **`wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.`** en este caso el montaje falló debido a que el desplazamiento del sistema de archivos es diferente al de la imagen del disco. Necesitas encontrar el tamaño del sector y el sector de inicio:
-```bash
-fdisk -l disk.img
-Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
-Units: sectors of 1 * 512 = 512 bytes
-Sector size (logical/physical): 512 bytes / 512 bytes
-I/O size (minimum/optimal): 512 bytes / 512 bytes
-Disklabel type: dos
-Disk identifier: 0x00495395
-
-Device Boot Start End Sectors Size Id Type
-disk.img1 2048 208895 206848 101M 1 FAT12
-```
-Ten en cuenta que el tamaño del sector es **512** y el inicio es **2048**. Luego monta la imagen de la siguiente manera:
-```bash
-mount disk.img /mnt -o ro,offset=$((2048*512))
-```
-
-
-☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
-* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
-* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-* Obtén la [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
-* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
-
-
diff --git a/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md b/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md
deleted file mode 100644
index 1a73891d3..000000000
--- a/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md
+++ /dev/null
@@ -1,8703 +0,0 @@
-# Volatility - Hoja de trucos
-
-
-
-☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
-* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
-* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
-* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
-* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
-
-
-
-
-
-
-
-[**RootedCON**](https://www.rootedcon.com/) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro hirviente para los profesionales de la tecnología y la ciberseguridad en todas las disciplinas.
-
-{% embed url="https://www.rootedcon.com/" %}
-
-Si quieres algo **rápido y loco** que lance varios plugins de Volatility en paralelo, puedes usar: [https://github.com/carlospolop/autoVolatility](https://github.com/carlospolop/autoVolatility)
-```bash
-python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)
-```
-## Instalación
-
-### volatility3
-```bash
-git clone https://github.com/volatilityfoundation/volatility3.git
-cd volatility3
-python3 setup.py install
-python3 vol.py —h
-```
-### volatility2
-
-{% tabs %}
-{% tab title="Método1" %}
-
-#### Comandos básicos
-
-- `volatility2 -f imageinfo`: muestra información sobre la imagen de memoria.
-- `volatility2 -f --profile=`: ejecuta un comando en la imagen de memoria con el perfil especificado.
-- `volatility2 -f --profile= pslist`: muestra una lista de procesos en la imagen de memoria.
-- `volatility2 -f --profile= pstree`: muestra un árbol de procesos en la imagen de memoria.
-- `volatility2 -f --profile= psscan`: muestra una lista de procesos en la imagen de memoria, incluyendo procesos ocultos.
-- `volatility2 -f --profile= netscan`: muestra una lista de conexiones de red en la imagen de memoria.
-- `volatility2 -f --profile= connscan`: muestra una lista de conexiones de red en la imagen de memoria.
-- `volatility2 -f --profile= filescan`: muestra una lista de archivos abiertos en la imagen de memoria.
-- `volatility2 -f --profile= dlllist`: muestra una lista de DLL cargadas en la imagen de memoria.
-- `volatility2 -f --profile= handles`: muestra una lista de handles abiertos en la imagen de memoria.
-- `volatility2 -f --profile= getsids`: muestra una lista de SIDs en la imagen de memoria.
-- `volatility2 -f --profile= hivelist`: muestra una lista de archivos de registro en la imagen de memoria.
-- `volatility2 -f --profile= printkey`: muestra el contenido de una clave de registro en la imagen de memoria.
-- `volatility2 -f --profile= dumpregistry`: extrae un archivo de registro de la imagen de memoria.
-- `volatility2 -f --profile= malfind`: busca malware en la imagen de memoria.
-- `volatility2 -f --profile= apihooks`: muestra una lista de ganchos de API en la imagen de memoria.
-- `volatility2 -f --profile= idt`: muestra la tabla de descriptores de interrupción en la imagen de memoria.
-- `volatility2 -f --profile= gdt`: muestra la tabla de descriptores globales en la imagen de memoria.
-- `volatility2 -f --profile= ldrmodules`: muestra una lista de módulos cargados en la imagen de memoria.
-- `volatility2 -f --profile= modscan`: muestra una lista de módulos cargados en la imagen de memoria.
-- `volatility2 -f --profile= svcscan`: muestra una lista de servicios en la imagen de memoria.
-- `volatility2 -f --profile= printkey`: muestra el contenido de una clave de registro en la imagen de memoria.
-- `volatility2 -f --profile= dumpregistry`: extrae un archivo de registro de la imagen de memoria.
-- `volatility2 -f --profile= malfind`: busca malware en la imagen de memoria.
-- `volatility2 -f --profile= apihooks`: muestra una lista de ganchos de API en la imagen de memoria.
-- `volatility2 -f --profile= idt`: muestra la tabla de descriptores de interrupción en la imagen de memoria.
-- `volatility2 -f --profile= gdt`: muestra la tabla de descriptores globales en la imagen de memoria.
-- `volatility2 -f --profile= ldrmodules`: muestra una lista de módulos cargados en la imagen de memoria.
-- `volatility2 -f --profile= modscan`: muestra una lista de módulos cargados en la imagen de memoria.
-- `volatility2 -f --profile= svcscan`: muestra una lista de servicios en la imagen de memoria.
-
-#### Análisis de procesos
-
-- `volatility2 -f --profile= pslist`: muestra una lista de procesos en la imagen de memoria.
-- `volatility2 -f --profile= pstree`: muestra un árbol de procesos en la imagen de memoria.
-- `volatility2 -f --profile= psscan`: muestra una lista de procesos en la imagen de memoria, incluyendo procesos ocultos.
-- `volatility2 -f --profile= cmdline`: muestra el comando utilizado para ejecutar un proceso en la imagen de memoria.
-- `volatility2 -f --profile= consoles`: muestra una lista de consolas asociadas a procesos en la imagen de memoria.
-- `volatility2 -f --profile= dlllist`: muestra una lista de DLL cargadas en la imagen de memoria.
-- `volatility2 -f --profile= handles`: muestra una lista de handles abiertos en la imagen de memoria.
-- `volatility2 -f --profile= memdump`: extrae el espacio de memoria de un proceso en la imagen de memoria.
-- `volatility2 -f --profile= memmap`: muestra un mapa de memoria de un proceso en la imagen de memoria.
-- `volatility2 -f --profile= vadinfo`: muestra información sobre los VADs (áreas de asignación de memoria) de un proceso en la imagen de memoria.
-- `volatility2 -f --profile= vadtree`: muestra un árbol de los VADs de un proceso en la imagen de memoria.
-- `volatility2 -f --profile= vadwalk`: muestra una lista de los VADs de un proceso en la imagen de memoria.
-
-#### Análisis de red
-
-- `volatility2 -f --profile= netscan`: muestra una lista de conexiones de red en la imagen de memoria.
-- `volatility2 -f --profile= connscan`: muestra una lista de conexiones de red en la imagen de memoria.
-- `volatility2 -f --profile= sockets`: muestra una lista de sockets en la imagen de memoria.
-- `volatility2 -f --profile= sockscan`: muestra una lista de sockets en la imagen de memoria.
-
-#### Análisis de archivos
-
-- `volatility2 -f --profile= filescan`: muestra una lista de archivos abiertos en la imagen de memoria.
-- `volatility2 -f --profile= dumpfiles`: extrae un archivo de la imagen de memoria.
-- `volatility2 -f --profile= handles`: muestra una lista de handles abiertos en la imagen de memoria.
-
-#### Análisis de registro
-
-- `volatility2 -f --profile= hivelist`: muestra una lista de archivos de registro en la imagen de memoria.
-- `volatility2 -f --profile= printkey`: muestra el contenido de una clave de registro en la imagen de memoria.
-- `volatility2 -f --profile= dumpregistry`: extrae un archivo de registro de la imagen de memoria.
-
-#### Análisis de malware
-
-- `volatility2 -f --profile= malfind`: busca malware en la imagen de memoria.
-- `volatility2 -f --profile= apihooks`: muestra una lista de ganchos de API en la imagen de memoria.
-
-#### Análisis de kernel
-
-- `volatility2 -f --profile= idt`: muestra la tabla de descriptores de interrupción en la imagen de memoria.
-- `volatility2 -f --profile= gdt`: muestra la tabla de descriptores globales en la imagen de memoria.
-
-#### Análisis de módulos
-
-- `volatility2 -f --profile= ldrmodules`: muestra una lista de módulos cargados en la imagen de memoria.
-- `volatility2 -f --profile= modscan`: muestra una lista de módulos cargados en la imagen de memoria.
-
-#### Análisis de servicios
-
-- `volatility2 -f --profile= svcscan`: muestra una lista de servicios en la imagen de memoria.
-
-{% endtab %}
-{% endtabs %}
-```
-Download the executable from https://www.volatilityfoundation.org/26
-```
-{% endtab %}
-
-{% tab title="Método 2" %}
-```bash
-git clone https://github.com/volatilityfoundation/volatility.git
-cd volatility
-python setup.py install
-```
-{% endtab %}
-{% endtabs %}
-
-## Comandos de Volatility
-
-Acceda a la documentación oficial en [Referencia de comandos de Volatility](https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#kdbgscan)
-
-### Una nota sobre los plugins "list" vs "scan"
-
-Volatility tiene dos enfoques principales para los plugins, que a veces se reflejan en sus nombres. Los plugins "list" intentarán navegar a través de las estructuras del kernel de Windows para recuperar información como procesos (ubicar y recorrer la lista vinculada de estructuras `_EPROCESS` en la memoria), manejadores del sistema operativo (ubicar y listar la tabla de manejadores, desreferenciando cualquier puntero encontrado, etc.). Se comportan más o menos como lo haría la API de Windows si se solicita, por ejemplo, listar procesos.
-
-Eso hace que los plugins "list" sean bastante rápidos, pero igual de vulnerables que la API de Windows a la manipulación por parte de malware. Por ejemplo, si el malware utiliza DKOM para desvincular un proceso de la lista vinculada `_EPROCESS`, no aparecerá en el Administrador de tareas ni en la lista de procesos.
-
-Los plugins "scan", por otro lado, tomarán un enfoque similar al tallado de la memoria para cosas que podrían tener sentido cuando se desreferencian como estructuras específicas. `psscan`, por ejemplo, leerá la memoria e intentará hacer objetos `_EPROCESS` de ella (utiliza el escaneo de etiquetas de grupo, que busca cadenas de 4 bytes que indiquen la presencia de una estructura de interés). La ventaja es que puede desenterrar procesos que han salido, e incluso si el malware manipula la lista vinculada `_EPROCESS`, el plugin seguirá encontrando la estructura en la memoria (ya que aún necesita existir para que el proceso se ejecute). La desventaja es que los plugins "scan" son un poco más lentos que los plugins "list" y a veces pueden dar falsos positivos (un proceso que salió hace demasiado tiempo y tuvo partes de su estructura sobrescritas por otras operaciones).
-
-De: [http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/](http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/)
-
-## Perfiles de SO
-
-### Volatility3
-
-Como se explica en el archivo readme, debe colocar la **tabla de símbolos del SO** que desea admitir dentro de _volatility3/volatility/symbols_.\
-Los paquetes de tabla de símbolos para los diversos sistemas operativos están disponibles para **descarga** en:
-
-* [https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip](https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip)
-* [https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip](https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip)
-* [https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip](https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip)
-
-### Volatility2
-
-#### Perfil externo
-
-Puede obtener la lista de perfiles admitidos haciendo:
-```bash
-./volatility_2.6_lin64_standalone --info | grep "Profile"
-```
-Si deseas utilizar un **nuevo perfil que has descargado** (por ejemplo, uno de Linux), debes crear en algún lugar la siguiente estructura de carpetas: _plugins/overlays/linux_ y colocar dentro de esta carpeta el archivo zip que contiene el perfil. Luego, obtén el número de perfiles usando:
-```bash
-./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
-Volatility Foundation Volatility Framework 2.6
-
-
-Profiles
---------
-LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
-VistaSP0x64 - A Profile for Windows Vista SP0 x64
-VistaSP0x86 - A Profile for Windows Vista SP0 x86
-```
-Puedes **descargar perfiles de Linux y Mac** desde [https://github.com/volatilityfoundation/profiles](https://github.com/volatilityfoundation/profiles)
-
-En el fragmento anterior puedes ver que el perfil se llama `LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64`, y puedes usarlo para ejecutar algo como:
-```bash
-./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan
-```
-#### Descubrir Perfil
-```
-volatility imageinfo -f file.dmp
-volatility kdbgscan -f file.dmp
-```
-#### **Diferencias entre imageinfo y kdbgscan**
-
-A diferencia de imageinfo, que simplemente proporciona sugerencias de perfil, **kdbgscan** está diseñado para identificar positivamente el perfil correcto y la dirección KDBG correcta (si hay varias). Este complemento escanea las firmas de KDBGHeader vinculadas a los perfiles de Volatility y aplica comprobaciones de integridad para reducir los falsos positivos. La verbosidad de la salida y el número de comprobaciones de integridad que se pueden realizar dependen de si Volatility puede encontrar un DTB, por lo que si ya conoce el perfil correcto (o si tiene una sugerencia de perfil de imageinfo), asegúrese de usarlo (de [aquí](https://www.andreafortuna.org/2017/06/25/volatility-my-own-cheatsheet-part-1-image-identification/)).
-
-Siempre eche un vistazo al **número de procesos que kdbgscan ha encontrado**. A veces, imageinfo y kdbgscan pueden encontrar **más de un perfil adecuado**, pero solo el **válido tendrá algo relacionado con procesos** (esto se debe a que se necesita la dirección KDBG correcta para extraer procesos).
-```bash
-# GOOD
-PsActiveProcessHead : 0xfffff800011977f0 (37 processes)
-PsLoadedModuleList : 0xfffff8000119aae0 (116 modules)
-```
-
-```bash
-# BAD
-PsActiveProcessHead : 0xfffff800011947f0 (0 processes)
-PsLoadedModuleList : 0xfffff80001197ac0 (0 modules)
-```
-#### KDBG
-
-El **bloque del depurador del kernel** (llamado KdDebuggerDataBlock del tipo \_KDDEBUGGER\_DATA64, o **KDBG** por Volatility) es importante para muchas cosas que Volatility y los depuradores hacen. Por ejemplo, tiene una referencia a PsActiveProcessHead que es la cabeza de lista de todos los procesos necesarios para la lista de procesos.
-
-## Información del sistema operativo
-```bash
-#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
-./vol.py -f file.dmp windows.info.Info
-```
-El plugin `banners.Banners` puede ser utilizado en **vol3 para intentar encontrar banners de linux** en el volcado.
-
-## Hashes/Contraseñas
-
-Extraer hashes SAM, credenciales en caché del dominio y secretos de LSA.
-```bash
-./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
-./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
-./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets
-```
-{% endtab %}
-
-{% tab title="volatility-cheatsheet.md" %}
-# Volatility Cheatsheet
-
-## Volatility Installation
-
-### Linux
-
-```bash
-sudo apt-get install volatility
-```
-
-### Windows
-
-Download the latest version from the [official website](https://www.volatilityfoundation.org/releases).
-
-## Volatility Usage
-
-### Basic Commands
-
-```bash
-volatility -f imageinfo
-volatility -f pslist
-volatility -f pstree
-volatility -f psscan
-volatility -f netscan
-volatility -f connscan
-volatility -f sockets
-volatility -f filescan
-volatility -f hivelist
-volatility -f hivedump -o -s -f
-volatility -f printkey -K
-volatility -f dumpregistry -o -s -k -f
-volatility -f malfind
-volatility -f apihooks
-volatility -f ldrmodules
-volatility -f modscan
-volatility -f getsids
-volatility -f getservicesids
-volatility -f handles
-volatility -f mutantscan
-volatility -f driverirp
-volatility -f devicetree
-volatility -f callbacks
-volatility -f idt
-volatility -f gdt
-volatility -f ssdt
-volatility -f driverscan
-volatility -f fileinfo -F
-volatility -f dumpfiles -Q -D
-volatility -f memdump -p -D
-volatility -f memdump -b -e -D
-volatility -f memdump -o -s -D
-```
-
-### Advanced Commands
-
-```bash
-volatility -f --profile=
-```
-
-### Plugins
-
-#### Malware Analysis
-
-```bash
-volatility -f malfind
-volatility -f malfind -Y
-volatility -f malfind -D
-volatility -f malfind -p
-volatility -f malfind -u
-volatility -f malfind -U
-volatility -f malfind -Y -D
-volatility -f malfind -Y -p
-volatility -f malfind -Y -u
-volatility -f malfind -Y -U
-volatility -f malfind -D -p
-volatility -f malfind -D -u
-volatility -f malfind -D -U
-volatility -f malfind -p -u
-volatility -f malfind -p -U
-volatility -f malfind -u -U
-volatility -f malfind -Y -D -p
-volatility -f malfind -Y -D -u
-volatility -f malfind -Y -D -U
-volatility -f malfind -Y -p -u
-volatility -f malfind -Y -p -U
-volatility -f malfind -Y -u -U
-```
-
-#### Registry Analysis
-
-```bash
-volatility -f hivelist
-volatility -f hivedump -o -s -f
-volatility -f printkey -K
-volatility -f dumpregistry -o -s -k -f
-```
-
-#### File Analysis
-
-```bash
-volatility -f filescan
-volatility -f filescan -S
-volatility -f filescan -F
-volatility -f dumpfiles -Q -D
-volatility -f dumpfiles -Q -D -n
-volatility -f dumpfiles -Q -D -u
-volatility -f dumpfiles -Q
