# Volatility - CheatSheet
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com **a missão de promover o conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
{% embed url="https://www.rootedcon.com/" %}
Se você quer algo **rápido e louco** que lançará vários plugins do Volatility em paralelo, você pode usar: [https://github.com/carlospolop/autoVolatility](https://github.com/carlospolop/autoVolatility)
```bash
python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)
```
## Instalação
### volatility3
```bash
git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py install
python3 vol.py —h
```
### volatility2
{% tabs %}
{% tab title="Método1" %}
#### Comandos básicos
- `volatility2 -f imageinfo`: muestra información sobre el archivo de memoria.
- `volatility2 -f pslist`: muestra una lista de procesos.
- `volatility2 -f pstree`: muestra un árbol de procesos.
- `volatility2 -f psscan`: muestra una lista de procesos utilizando el escaneo de proceso.
- `volatility2 -f netscan`: muestra una lista de conexiones de red.
- `volatility2 -f connscan`: muestra una lista de conexiones de red utilizando el escaneo de conexión.
- `volatility2 -f filescan`: muestra una lista de archivos abiertos.
- `volatility2 -f hivelist`: muestra una lista de claves del registro.
- `volatility2 -f printkey -K `: muestra el contenido de una clave del registro.
- `volatility2 -f dumpregistry -K -D `: guarda el contenido de una clave del registro en un archivo.
- `volatility2 -f malfind`: busca malware en la memoria.
- `volatility2 -f apihooks`: muestra los hooks de API.
- `volatility2 -f dlllist`: muestra una lista de DLL cargadas.
- `volatility2 -f handles`: muestra una lista de handles abiertos.
- `volatility2 -f mutantscan`: muestra una lista de objetos mutantes.
- `volatility2 -f svcscan`: muestra una lista de servicios.
- `volatility2 -f driverirp`: muestra una lista de IRP manejados por los drivers.
- `volatility2 -f devicetree`: muestra una lista de dispositivos.
- `volatility2 -f modscan`: muestra una lista de módulos cargados.
- `volatility2 -f moddump -D -n `: guarda el contenido de un módulo en un archivo.
- `volatility2 -f memdump -p -D `: guarda el contenido de un proceso en un archivo.
- `volatility2 -f memdump -b -s -D `: guarda un bloque de memoria en un archivo.
#### Plugins adicionales
- `volatility2 -f windows.handles`: muestra una lista de handles abiertos con información adicional.
- `volatility2 -f windows.verinfo`: muestra información sobre la versión del sistema operativo.
- `volatility2 -f windows.pslist`: muestra una lista de procesos con información adicional.
- `volatility2 -f windows.pstree`: muestra un árbol de procesos con información adicional.
- `volatility2 -f windows.filescan`: muestra una lista de archivos abiertos con información adicional.
- `volatility2 -f windows.netscan`: muestra una lista de conexiones de red con información adicional.
- `volatility2 -f windows.connscan`: muestra una lista de conexiones de red utilizando el escaneo de conexión con información adicional.
- `volatility2 -f windows.registry.hivelist`: muestra una lista de claves del registro con información adicional.
- `volatility2 -f windows.registry.printkey -K `: muestra el contenido de una clave del registro con información adicional.
- `volatility2 -f windows.registry.dumpregistry -K -D `: guarda el contenido de una clave del registro en un archivo con información adicional.
- `volatility2 -f windows.malfind`: busca malware en la memoria con información adicional.
- `volatility2 -f windows.apihooks`: muestra los hooks de API con información adicional.
- `volatility2 -f windows.dlldump -D -n `: guarda el contenido de una DLL en un archivo con información adicional.
- `volatility2 -f windows.svcscan`: muestra una lista de servicios con información adicional.
- `volatility2 -f windows.driverirp`: muestra una lista de IRP manejados por los drivers con información adicional.
- `volatility2 -f windows.devicetree`: muestra una lista de dispositivos con información adicional.
- `volatility2 -f windows.moddump -D -n `: guarda el contenido de un módulo en un archivo con información adicional.
- `volatility2 -f windows.memdump -p -D `: guarda el contenido de un proceso en un archivo con información adicional.
- `volatility2 -f windows.memdump -b -s -D `: guarda un bloque de memoria en un archivo con información adicional.
{% endtab %}
{% endtabs %}
```
Download the executable from https://www.volatilityfoundation.org/26
```
{% endtab %}
{% tab title="Método 2" %}
```bash
git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python setup.py install
```
{% endtab %}
{% endtabs %}
## Comandos do Volatility
Acesse a documentação oficial em [Referência de comandos do Volatility](https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#kdbgscan)
### Uma nota sobre plugins "list" vs. "scan"
O Volatility tem duas abordagens principais para plugins, que às vezes são refletidas em seus nomes. Plugins "list" tentarão navegar pelas estruturas do Kernel do Windows para recuperar informações como processos (localizar e percorrer a lista vinculada de estruturas `_EPROCESS` na memória), alças do SO (localizar e listar a tabela de alças, desreferenciando quaisquer ponteiros encontrados, etc). Eles mais ou menos se comportam como a API do Windows se solicitado, por exemplo, para listar processos.
Isso torna os plugins "list" bastante rápidos, mas tão vulneráveis quanto a API do Windows à manipulação por malware. Por exemplo, se o malware usa DKOM para desvincular um processo da lista vinculada `_EPROCESS`, ele não aparecerá no Gerenciador de Tarefas e nem no pslist.
Os plugins "scan", por outro lado, adotarão uma abordagem semelhante à escultura da memória para coisas que podem fazer sentido quando desreferenciadas como estruturas específicas. `psscan`, por exemplo, lerá a memória e tentará fazer objetos `_EPROCESS` com ela (ele usa a varredura de pool-tag, que está procurando por strings de 4 bytes que indicam a presença de uma estrutura de interesse). A vantagem é que ele pode desenterrar processos que saíram e, mesmo que o malware manipule a lista vinculada `_EPROCESS`, o plugin ainda encontrará a estrutura deitada na memória (já que ainda precisa existir para o processo ser executado). A desvantagem é que os plugins "scan" são um pouco mais lentos que os plugins "list" e às vezes podem produzir falsos positivos (um processo que saiu há muito tempo e teve partes de sua estrutura sobrescritas por outras operações).
De: [http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/](http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/)
## Perfis de SO
### Volatility3
Como explicado no readme, você precisa colocar a **tabela de símbolos do SO** que deseja suportar dentro de _volatility3/volatility/symbols_.\
Os pacotes de tabela de símbolos para vários sistemas operacionais estão disponíveis para **download** em:
* [https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip](https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip)
* [https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip](https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip)
* [https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip](https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip)
### Volatility2
#### Perfil externo
Você pode obter a lista de perfis suportados fazendo:
```bash
./volatility_2.6_lin64_standalone --info | grep "Profile"
```
Se você deseja usar um **novo perfil que você baixou** (por exemplo, um perfil linux), você precisa criar em algum lugar a seguinte estrutura de pastas: _plugins/overlays/linux_ e colocar dentro desta pasta o arquivo zip contendo o perfil. Em seguida, obtenha o número de perfis usando:
```bash
./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
Volatility Foundation Volatility Framework 2.6
Profiles
--------
LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
VistaSP0x64 - A Profile for Windows Vista SP0 x64
VistaSP0x86 - A Profile for Windows Vista SP0 x86
```
Você pode **baixar perfis do Linux e Mac** em [https://github.com/volatilityfoundation/profiles](https://github.com/volatilityfoundation/profiles)
No trecho anterior, você pode ver que o perfil é chamado `LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64`, e você pode usá-lo para executar algo como:
```bash
./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan
```
#### Descobrir Perfil
```
volatility imageinfo -f file.dmp
volatility kdbgscan -f file.dmp
```
#### **Diferenças entre imageinfo e kdbgscan**
Ao contrário do imageinfo, que simplesmente fornece sugestões de perfil, o **kdbgscan** é projetado para identificar positivamente o perfil correto e o endereço KDBG correto (se houver vários). Este plugin procura as assinaturas KDBGHeader vinculadas aos perfis do Volatility e aplica verificações de integridade para reduzir falsos positivos. A verbosidade da saída e o número de verificações de integridade que podem ser realizadas dependem se o Volatility pode encontrar um DTB, portanto, se você já conhece o perfil correto (ou se tem uma sugestão de perfil do imageinfo), certifique-se de usá-lo (de [aqui](https://www.andreafortuna.org/2017/06/25/volatility-my-own-cheatsheet-part-1-image-identification/)).
Sempre dê uma olhada no **número de processos que o kdbgscan encontrou**. Às vezes, o imageinfo e o kdbgscan podem encontrar **mais de um perfil adequado**, mas apenas o **válido terá alguma relação com processos** (isso ocorre porque o endereço KDBG correto é necessário para extrair processos).
```bash
# GOOD
PsActiveProcessHead : 0xfffff800011977f0 (37 processes)
PsLoadedModuleList : 0xfffff8000119aae0 (116 modules)
```
```bash
# BAD
PsActiveProcessHead : 0xfffff800011947f0 (0 processes)
PsLoadedModuleList : 0xfffff80001197ac0 (0 modules)
```
#### KDBG
O **bloco de depuração do kernel** (chamado de KdDebuggerDataBlock do tipo \_KDDEBUGGER\_DATA64, ou **KDBG** pelo Volatility) é importante para muitas coisas que o Volatility e os depuradores fazem. Por exemplo, ele tem uma referência ao PsActiveProcessHead, que é a cabeça da lista de todos os processos necessários para a listagem de processos.
## Informações do SO
```bash
#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
./vol.py -f file.dmp windows.info.Info
```
O plugin `banners.Banners` pode ser usado no **vol3 para tentar encontrar banners do linux** no dump.
## Hashes/Senhas
Extraia hashes SAM, [credenciais em cache do domínio](../../../windows-hardening/stealing-credentials/credentials-protections.md#cached-credentials) e [segredos lsa](../../../windows-hardening/authentication-credentials-uac-and-efs.md#lsa-secrets).
{% tabs %}
{% tab title="vol3" %}
```bash
./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets
```
{% endtab %}
{% tab title="volatility-cheatsheet" %}
# Folha de dicas do Volatility
## Comandos básicos
### Análise de imagem
- `volatility -f imageinfo`: exibe informações sobre a imagem de memória
- `volatility -f profileinfo`: exibe informações sobre o perfil da imagem de memória
- `volatility -f pslist`: exibe a lista de processos em execução
- `volatility -f pstree`: exibe a árvore de processos em execução
- `volatility -f psscan`: exibe a lista de processos em execução usando o scanner de processo
- `volatility -f dlllist -p `: exibe a lista de DLLs carregadas por um processo
- `volatility -f handles -p `: exibe a lista de handles abertos por um processo
- `volatility -f filescan`: exibe a lista de arquivos abertos
- `volatility -f netscan`: exibe a lista de conexões de rede
### Análise de processo
- `volatility -f procdump -p -D `: cria um dump de memória de um processo
- `volatility -f memdump -p -D `: cria um dump de memória de um processo (alternativa ao procdump)
- `volatility -f cmdline -p `: exibe a linha de comando usada para iniciar um processo
- `volatility -f consoles -p `: exibe a lista de consoles usados por um processo
- `volatility -f getsids -p `: exibe a lista de SIDs associados a um processo
- `volatility -f envars -p `: exibe a lista de variáveis de ambiente usadas por um processo
- `volatility -f malfind -p -D `: procura por código malicioso em um processo
### Análise de sistema de arquivos
- `volatility -f hivelist`: exibe a lista de arquivos de registro carregados
- `volatility -f printkey -o `: exibe o conteúdo de uma chave de registro
- `volatility -f dumpregistry -o -D `: cria um dump de uma chave de registro
- `volatility -f filescan`: exibe a lista de arquivos abertos
- `volatility -f dumpfiles -Q -D `: cria dumps de arquivos correspondentes a um regex de caminho
### Análise de rede
- `volatility -f connscan`: exibe a lista de conexões de rede
- `volatility -f connscan -s`: exibe a lista de conexões de rede com informações de socket
- `volatility -f sockets`: exibe a lista de sockets abertos
- `volatility -f sockscan`: exibe a lista de sockets abertos usando o scanner de socket
## Plugins adicionais
### Análise de malware
- `volatility -f malfind`: procura por código malicioso em processos e módulos
- `volatility -f malprocfind`: procura por processos maliciosos
- `volatility -f malfind`: procura por arquivos maliciosos na memória
- `volatility -f apihooks`: exibe a lista de ganchos de API instalados
- `volatility -f svcscan`: exibe a lista de serviços em execução
- `volatility -f svcscan -v`: exibe a lista de serviços em execução com informações detalhadas
- `volatility -f driverirp`: exibe a lista de IRPs (pacotes de solicitação de entrada/saída) manipulados por drivers
- `volatility -f callbacks`: exibe a lista de callbacks registrados
### Análise de memória
- `volatility -f memmap`: exibe o mapa de memória
- `volatility -f memdump`: cria um dump de memória
- `volatility -f memdump -p -D `: cria um dump de memória de um processo
- `volatility -f memstrings`: procura por strings na memória
- `volatility -f memdump --dump-dir --dump-headers -p `: cria um dump de memória de um processo com cabeçalhos
### Análise de sistema de arquivos
- `volatility -f filescan`: exibe a lista de arquivos abertos
- `volatility -f dumpfiles -Q -D `: cria dumps de arquivos correspondentes a um regex de caminho
- `volatility -f dumpregistry -o -D `: cria um dump de uma chave de registro
### Análise de rede
- `volatility -f connscan`: exibe a lista de conexões de rede
- `volatility -f connscan -s`: exibe a lista de conexões de rede com informações de socket
- `volatility -f sockets`: exibe a lista de sockets abertos
- `volatility -f sockscan`: exibe a lista de sockets abertos usando o scanner de socket
## Referências
- [Volatility Cheat Sheet](https://github.com/JamesHabben/volatility-cheatsheet) por James Habben
- [Volatility Command Reference](https://github.com/volatilityfoundation/volatility/wiki/Command-Reference) no wiki do Volatility Foundation
{% endtab %}
```bash
volatility --profile=Win7SP1x86_23418 hashdump -f file.dmp #Grab common windows hashes (SAM+SYSTEM)
volatility --profile=Win7SP1x86_23418 cachedump -f file.dmp #Grab domain cache hashes inside the registry
volatility --profile=Win7SP1x86_23418 lsadump -f file.dmp #Grab lsa secrets
```
## Despejo de Memória
O despejo de memória de um processo irá **extrair tudo** do estado atual do processo. O módulo **procdump** irá apenas **extrair** o **código**.
```
volatility -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/
```
[**RootedCON**](https://www.rootedcon.com/) é o evento de cibersegurança mais relevante na **Espanha** e um dos mais importantes na **Europa**. Com **a missão de promover o conhecimento técnico**, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
{% embed url="https://www.rootedcon.com/" %}
## Processos
### Listar processos
Tente encontrar processos **suspeitos** (por nome) ou **inesperados** processos filhos (por exemplo, um cmd.exe como filho de iexplorer.exe).\
Pode ser interessante **comparar** o resultado do pslist com o de psscan para identificar processos ocultos.
```bash
python3 vol.py -f file.dmp windows.pstree.PsTree # Get processes tree (not hidden)
python3 vol.py -f file.dmp windows.pslist.PsList # Get process list (EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # Get hidden process list(malware)
```
{% endtab %}
{% tab title="volatility-cheatsheet.md" %}
# Folha de dicas do Volatility
## Comandos básicos
### Análise de imagem
- `volatility -f imageinfo`: exibe informações sobre a imagem de memória
- `volatility -f kdbgscan`: procura pelo valor do depurador do kernel (KDBG) na imagem de memória
- `volatility -f pslist`: lista os processos em execução na imagem de memória
- `volatility -f psscan`: lista os processos em execução na imagem de memória (busca em todos os processos)
- `volatility -f pstree`: exibe a árvore de processos na imagem de memória
- `volatility -f dlllist -p `: lista as DLLs carregadas por um processo específico
- `volatility -f handles -p `: lista os handles abertos por um processo específico
- `volatility -f filescan`: lista os arquivos abertos na imagem de memória
- `volatility -f netscan`: lista as conexões de rede na imagem de memória
- `volatility -f connscan`: lista as conexões de rede na imagem de memória (busca em todos os processos)
- `volatility -f hivelist`: lista os arquivos de registro na imagem de memória
- `volatility -f printkey -K `: exibe o conteúdo de uma chave de registro específica
- `volatility -f dumpregistry -D -K `: extrai uma chave de registro específica para um diretório de saída
### Análise de processo
- `volatility -f memdump -p -D `: extrai o espaço de endereço virtual de um processo específico para um diretório de saída
- `volatility -f procdump -p -D `: extrai o arquivo executável de um processo específico para um diretório de saída
- `volatility -f malfind -p -D `: procura por código malicioso na memória de um processo específico e extrai-o para um diretório de saída
### Análise de sistema de arquivos
- `volatility -f hivelist`: lista os arquivos de registro na imagem de memória
- `volatility -f printkey -K `: exibe o conteúdo de uma chave de registro específica
- `volatility -f dumpregistry -D -K `: extrai uma chave de registro específica para um diretório de saída
- `volatility -f filescan`: lista os arquivos abertos na imagem de memória
- `volatility -f dumpfiles -D --name `: extrai um arquivo específico para um diretório de saída
### Outros comandos úteis
- `volatility -f hashdump -y `: extrai as hashes de senha da imagem de memória
- `volatility -f truecryptpassphrase`: extrai a senha do TrueCrypt da imagem de memória
- `volatility -f clipboard`: exibe o conteúdo da área de transferência da imagem de memória
- `volatility -f shellbags`: exibe as informações de shellbags da imagem de memória
## Plugins adicionais
### Análise de malware
- `volatility -f malfind`: procura por código malicioso na imagem de memória
- `volatility -f malprocfind`: procura por processos maliciosos na imagem de memória
- `volatility -f maldriverscan`: procura por drivers maliciosos na imagem de memória
- `volatility -f apihooks`: exibe os ganchos de API na imagem de memória
### Análise de rede
- `volatility -f connscan`: lista as conexões de rede na imagem de memória (busca em todos os processos)
- `volatility -f sockets`: lista os sockets abertos na imagem de memória
- `volatility -f sockscan`: lista os sockets abertos na imagem de memória (busca em todos os processos)
### Análise de sistema de arquivos
- `volatility -f shimcache`: exibe as informações do cache de compatibilidade do aplicativo da imagem de memória
- `volatility -f usnjrnl`: exibe as informações do diário de alterações do NTFS da imagem de memória
- `volatility -f mftparser`: exibe as informações do arquivo de tabela mestre do NTFS da imagem de memória
- `volatility -f mftparser -D `: extrai o arquivo de tabela mestre do NTFS para um diretório de saída
- `volatility -f filescan`: lista os arquivos abertos na imagem de memória
- `volatility -f dumpfiles -D --name `: extrai um arquivo específico para um diretório de saída
### Análise de memória
- `volatility -f memmap`: exibe o mapa de memória da imagem de memória
- `volatility -f memdump`: extrai a imagem de memória completa para um arquivo
- `volatility -f memdump --dump-dir `: extrai a imagem de memória completa para um diretório de saída
- `volatility -f memdump -p -D `: extrai o espaço de endereço virtual de um processo específico para um diretório de saída
- `volatility -f memdump --offset --length -D `: extrai uma região específica da imagem de memória para um diretório de saída
## Referências
- [Volatility Cheat Sheet](https://github.com/JamesHabben/volatility-cheatsheet) por James Habben
- [The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory](https://www.amazon.com/Art-Memory-Forensics-Detecting-Malware/dp/1118825098) por Michael Hale Ligh, Andrew Case, Jamie Levy e Aaron Walters
{% endtab %}
```bash
volatility --profile=PROFILE pstree -f file.dmp # Get process tree (not hidden)
volatility --profile=PROFILE pslist -f file.dmp # Get process list (EPROCESS)
volatility --profile=PROFILE psscan -f file.dmp # Get hidden process list(malware)
volatility --profile=PROFILE psxview -f file.dmp # Get hidden process list
```
### Dump de processos
{% tabs %}
{% tab title="vol3" %}
Para despejar um processo específico, use o comando `procdump`:
```bash
procdump -p -d
```
Para despejar um processo que atenda a um determinado critério, use o comando `procdump` com a opção `-ma`:
```bash
procdump -ma -t -n 3 -s 5 -d
```
O comando acima despejará o processo que atenda aos seguintes critérios:
- Nome da imagem: ``
- CPU média superior a 5%: `-s 5`
- Utilização da CPU superior a 3%: `-n 3`
- Tempo de espera de 10 segundos: `-t`
Para despejar todos os processos em execução, use o comando `procdump` com a opção `-a`:
```bash
procdump -a -d
```
{% endtab %}
{% endtabs %}
```bash
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid #Dump the .exe and dlls of the process in the current directory
```
{% endtab %}
{% tab title="volatility-cheatsheet" %}
# Folha de dicas do Volatility
## Comandos básicos
### Análise de imagem
- `volatility -f imageinfo`: exibe informações sobre a imagem de memória
- `volatility -f profileinfo`: exibe informações sobre o perfil da imagem de memória
- `volatility -f pslist`: exibe a lista de processos em execução
- `volatility -f pstree`: exibe a árvore de processos em execução
- `volatility -f psscan`: exibe a lista de processos em execução usando o scanner de processo
- `volatility -f dlllist -p `: exibe a lista de DLLs carregadas por um processo
- `volatility -f handles -p `: exibe a lista de handles abertos por um processo
- `volatility -f filescan`: exibe a lista de arquivos abertos
- `volatility -f netscan`: exibe a lista de conexões de rede
### Análise de processo
- `volatility -f procdump -p -D `: cria um dump de memória de um processo
- `volatility -f memdump -p -D `: cria um dump de memória de um processo (alternativa ao procdump)
- `volatility -f cmdline -p `: exibe a linha de comando usada para iniciar um processo
- `volatility -f consoles -p `: exibe a lista de consoles usados por um processo
- `volatility -f getsids -p `: exibe a lista de SIDs associados a um processo
- `volatility -f envars -p `: exibe a lista de variáveis de ambiente usadas por um processo
- `volatility -f malfind -p -D `: procura por código malicioso em um processo
### Análise de sistema de arquivos
- `volatility -f hivelist`: exibe a lista de arquivos de registro carregados
- `volatility -f printkey -o `: exibe o conteúdo de uma chave de registro
- `volatility -f dumpregistry -o -D `: cria um dump de uma chave de registro
- `volatility -f filescan`: exibe a lista de arquivos abertos
- `volatility -f dumpfiles -Q -D `: cria dumps de arquivos correspondentes a um regex de caminho
### Análise de rede
- `volatility -f connscan`: exibe a lista de conexões de rede
- `volatility -f connscan -s`: exibe a lista de conexões de rede com informações de socket
- `volatility -f sockets`: exibe a lista de sockets abertos
- `volatility -f sockscan`: exibe a lista de sockets abertos usando o scanner de socket
## Plugins adicionais
### Análise de malware
- `volatility -f malfind`: procura por código malicioso em processos e módulos
- `volatility -f malprocfind`: procura por processos maliciosos
- `volatility -f malfind`: procura por arquivos maliciosos na memória
- `volatility -f