hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md

Volatility - CheatSheet

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

• Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
• Adquira o swag oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

​

​​RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.

{% embed url="https://www.rootedcon.com/" %}

Se você deseja algo rápido e louco que lançará vários plugins do Volatility em paralelo, você pode usar: https://github.com/carlospolop/autoVolatility

python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)

Instalação

volatility3

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py install
python3 vol.py —h

volatility2

{% tabs %} {% tab title="Método1" %}

Download the executable from https://www.volatilityfoundation.org/26

{% endtab %}

{% tab title="Método 2" %}

git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python setup.py install

{% endtab %} {% endtabs %}

Comandos do Volatility

Acesse a documentação oficial em Referência de comandos do Volatility

Uma nota sobre plugins "list" vs "scan"

O Volatility tem duas abordagens principais para plugins, que às vezes são refletidas em seus nomes. Os plugins "list" tentarão navegar pelas estruturas do Kernel do Windows para recuperar informações como processos (localizar e percorrer a lista encadeada de estruturas _EPROCESS na memória), identificadores do sistema operacional (localizando e listando a tabela de identificadores, desreferenciando quaisquer ponteiros encontrados, etc). Eles se comportam mais ou menos como a API do Windows se solicitada, por exemplo, para listar processos.

Isso torna os plugins "list" bastante rápidos, mas tão vulneráveis quanto a API do Windows à manipulação por malware. Por exemplo, se o malware usar DKOM para desvincular um processo da lista encadeada _EPROCESS, ele não aparecerá no Gerenciador de Tarefas e nem na lista de processos.

Os plugins "scan", por outro lado, adotarão uma abordagem semelhante à escultura da memória em busca de coisas que possam fazer sentido quando desreferenciadas como estruturas específicas. psscan, por exemplo, lerá a memória e tentará criar objetos _EPROCESS a partir dela (ele usa varredura de pool-tag, que consiste em procurar strings de 4 bytes que indicam a presença de uma estrutura de interesse). A vantagem é que ele pode encontrar processos que foram encerrados e, mesmo que o malware manipule a lista encadeada _EPROCESS, o plugin ainda encontrará a estrutura presente na memória (pois ela ainda precisa existir para o processo ser executado). A desvantagem é que os plugins "scan" são um pouco mais lentos que os plugins "list" e às vezes podem fornecer falsos positivos (um processo que foi encerrado há muito tempo e teve partes de sua estrutura sobrescritas por outras operações).

De: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/

Perfis de SO

Volatility3

Como explicado no readme, você precisa colocar a tabela de símbolos do SO que deseja suportar dentro de volatility3/volatility/symbols.
Os pacotes de tabelas de símbolos para os vários sistemas operacionais estão disponíveis para download em:

• https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip
• https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip
• https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip

Volatility2

Perfil Externo

Você pode obter a lista de perfis suportados fazendo:

./volatility_2.6_lin64_standalone --info | grep "Profile"

Se deseja usar um novo perfil que baixou (por exemplo, um perfil linux), precisa criar em algum lugar a seguinte estrutura de pastas: plugins/overlays/linux e colocar dentro desta pasta o arquivo zip contendo o perfil. Em seguida, obtenha o número de perfis usando:

./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
Volatility Foundation Volatility Framework 2.6


Profiles
--------
LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
VistaSP0x64                                   - A Profile for Windows Vista SP0 x64
VistaSP0x86                                   - A Profile for Windows Vista SP0 x86

Você pode baixar perfis do Linux e Mac em https://github.com/volatilityfoundation/profiles

No trecho anterior, você pode ver que o perfil é chamado LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64, e você pode usá-lo para executar algo como:

./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan

Descobrir Perfil

volatility imageinfo -f file.dmp
volatility kdbgscan -f file.dmp

Diferenças entre imageinfo e kdbgscan

Ao contrário do imageinfo, que simplesmente fornece sugestões de perfil, o kdbgscan é projetado para identificar positivamente o perfil correto e o endereço KDBG correto (se houver múltiplos). Este plugin faz uma varredura nas assinaturas KDBGHeader ligadas aos perfis do Volatility e aplica verificações de sanidade para reduzir falsos positivos. A verbosidade da saída e o número de verificações de sanidade que podem ser realizadas dependem se o Volatility pode encontrar um DTB, então se você já conhece o perfil correto (ou se tiver uma sugestão de perfil do imageinfo), certifique-se de usá-lo (de aqui).

Sempre dê uma olhada no número de processos que o kdbgscan encontrou. Às vezes, o imageinfo e o kdbgscan podem encontrar mais de um perfil adequado, mas apenas o válido terá algum processo relacionado (Isso ocorre porque para extrair processos é necessário o endereço KDBG correto).

# GOOD
PsActiveProcessHead           : 0xfffff800011977f0 (37 processes)
PsLoadedModuleList            : 0xfffff8000119aae0 (116 modules)

# BAD
PsActiveProcessHead           : 0xfffff800011947f0 (0 processes)
PsLoadedModuleList            : 0xfffff80001197ac0 (0 modules)

KDBG

O bloco de depuração do kernel (nomeado KdDebuggerDataBlock do tipo _KDDEBUGGER_DATA64, ou KDBG pelo volatility) é importante para muitas coisas que o Volatility e os depuradores fazem. Por exemplo, ele tem uma referência ao PsActiveProcessHead que é a cabeça da lista de todos os processos necessária para listagem de processos.

Informações do Sistema Operacional

#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
./vol.py -f file.dmp windows.info.Info

O plugin banners.Banners pode ser usado no vol3 para tentar encontrar banners linux no dump.

Hashes/Senhas

Extrair hashes SAM, credenciais em cache do domínio e segredos lsa.

./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objeto aberto para cada processo.
• cmdline: exibe os argumentos da linha de comando de cada processo.
• filescan: escaneia a memória em busca de estruturas de dados de arquivos.
• dumpfiles: extrai arquivos da memória.
• malfind: encontra possíveis malwares na memória.
• apihooks: exibe os ganchos de API em cada processo.
• ldrmodules: lista os módulos carregados em cada processo.
• svcscan: lista os serviços do Windows.
• connections: exibe informações de conexão de rede.
• sockets: lista os sockets de rede.
• connscan: escaneia a memória em busca de objetos de conexão de rede.
• netscan: exibe informações de rede.
• autoruns: lista os programas que são executados automaticamente.
• printkey: exibe as subchaves e valores de uma chave de registro.
• hivelist: lista os hives de registro.
• hashdump: extrai hashes de senha do SAM ou do sistema.
• kdbgscan: encontra o valor KDBG.
• modscan: escaneia a memória em busca de módulos do kernel.
• ssdt: exibe a Tabela de Despacho de Serviços do Sistema.
• gdt: exibe a Tabela de Descritores Globais.
• idt: exibe a Tabela de Despacho de Interrupções.
• callbacks: lista os callbacks do kernel.
• driverirp: exibe os IRPs de driver.
• devicetree: exibe a árvore de dispositivos.
• printers: lista as impressoras instaladas.
• privs: lista os privilégios do sistema.
• getsids: lista os SIDs dos processos.
• psxview: exibe processos ocultos.
• yarascan: escaneia a memória em busca de padrões YARA.
• memmap: exibe o mapeamento de memória do processo.
• vadinfo: exibe informações sobre regiões de memória virtuais.
• vaddump: extrai regiões de memória virtuais.
• vadtree: exibe as regiões de memória virtuais em formato de árvore.
• dlldump: extrai uma DLL específica da memória.
• memdump: cria um despejo de memória de um processo específico.
• memstrings: extrai strings ASCII e Unicode da memória.
• mbrparser: analisa o Registro Mestre de Inicialização.
• mftparser: analisa a Tabela de Arquivos Mestra.
• usnparser: analisa o Jornal de Alterações do Sistema de Arquivos.
• shellbags: analisa as Shellbags.
• timeliner: cria uma linha do tempo dos eventos do sistema.
• truecryptmaster: extrai a chave mestra do TrueCrypt.
• volshell: inicia um shell interativo do Volatility.
• linux_bash: exibe os comandos bash executados em um dump de memória Linux.
• linux_netstat: exibe as conexões de rede em um dump de memória Linux.
• linux_psaux: exibe informações sobre processos em um dump de memória Linux.
• linux_proc_maps: exibe o mapeamento de memória de processos em um dump de memória Linux.
• linux_pslist: lista os processos em execução em um dump de memória Linux.
• linux_pstree: exibe os processos em formato de árvore em um dump de memória Linux.
• linux_yarascan: escaneia a memória em busca de padrões YARA em um dump de memória Linux.
• linux_check_afinfo: verifica as informações de família de endereços em um dump de memória Linux.
• linux_check_creds: verifica as credenciais em um dump de memória Linux.
• linux_check_fop: verifica as operações de arquivo em um dump de memória Linux.
• linux_check_idt: verifica a Tabela de Despacho de Interrupções em um dump de memória Linux.
• linux_check_modules: verifica os módulos do kernel em um dump de memória Linux.
• linux_check_syscall: verifica as chamadas de sistema em um dump de memória Linux.
• linux_check_syscalltbl: verifica a tabela de chamadas de sistema em um dump de memória Linux.
• linux_check_sysmaps: verifica os mapas de memória do sistema em um dump de memória Linux.
• linux_check_tty: verifica os dispositivos de terminal em um dump de memória Linux.
• linux_check_tty_audit: verifica os registros de auditoria de terminal em um dump de memória Linux.
• linux_check_tty_keys: verifica as chaves de terminal em um dump de memória Linux.
• linux_check_tty_write_buf: verifica os buffers de escrita de terminal em um dump de memória Linux.
• linux_check_version: verifica a versão do kernel em um dump de memória Linux.
• linux_cpuinfo: exibe informações sobre a CPU em um dump de memória Linux.
• linux_ifconfig: exibe informações de configuração de rede em um dump de memória Linux.
• linux_lsmod: lista os módulos do kernel em um dump de memória Linux.
• linux_mount: lista os pontos de montagem em um dump de memória Linux.
• linux_netfilter: exibe informações sobre regras de filtragem de pacotes em um dump de memória Linux.
• linux_route: exibe informações de rota em um dump de memória Linux.
• linux_routecache: exibe informações de cache de rota em um dump de memória Linux.
• linux_ssdt: exibe a Tabela de Despacho de Serviços do Sistema em um dump de memória Linux.
• linux_threads: lista as threads em execução em um dump de memória Linux.
• linux_timers_list: lista os timers em um dump de memória Linux.
• linux_uname: exibe informações sobre o sistema em um dump de memória Linux.
• linux_vm_map: exibe o mapeamento de memória virtual em um dump de memória Linux.
• linux_watch_processes: monitora a criação e término de processos em um dump de memória Linux.
• linux_watch_threads: monitora a criação e término de threads em um dump de memória Linux.
• linux_watch_timers: monitora a criação e término de timers em um dump de memória Linux.
• linux_watchdog: monitora o watchdog em um dump de memória Linux.
• linux_yarascan: escaneia a memória em busca de padrões YARA em um dump de memória Linux.

volatility --profile=Win7SP1x86_23418 hashdump -f file.dmp #Grab common windows hashes (SAM+SYSTEM)
volatility --profile=Win7SP1x86_23418 cachedump -f file.dmp #Grab domain cache hashes inside the registry
volatility --profile=Win7SP1x86_23418 lsadump -f file.dmp #Grab lsa secrets

Despejo de Memória

O despejo de memória de um processo irá extrair tudo do estado atual do processo. O módulo procdump irá apenas extrair o código.

volatility -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/

​​​RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.

{% embed url="https://www.rootedcon.com/" %}

Processos

Listar processos

Tente encontrar processos suspeitos (por nome) ou inesperados processos filhos (por exemplo, um cmd.exe como filho de iexplorer.exe).
Pode ser interessante comparar o resultado do pslist com o de psscan para identificar processos ocultos.

{% tabs %} {% tab title="vol3" %}

python3 vol.py -f file.dmp windows.pstree.PsTree # Get processes tree (not hidden)
python3 vol.py -f file.dmp windows.pslist.PsList # Get process list (EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # Get hidden process list(malware)

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• psscan: verifica os processos ocultos.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objeto aberto para cada processo.
• cmdline: exibe os argumentos da linha de comando de cada processo.
• consoles: lista os consoles associados a cada processo.
• filescan: verifica os arquivos mapeados na memória.
• svcscan: lista os serviços do Windows.
• connections: exibe as conexões de rede.
• malfind: procura por possíveis malwares na memória.
• apihooks: identifica possíveis ganchos de API.
• ldrmodules: lista os módulos carregados em cada processo.
• modscan: verifica os módulos do kernel.
• ssdt: exibe a Tabela de Despacho de Serviço do Sistema.
• callbacks: lista os callbacks do kernel.
• driverirp: exibe as estruturas de solicitação de pacote (IRP) do driver.
• devicetree: exibe a árvore de dispositivos.
• printkey: exibe as chaves do Registro de impressão.
• privs: lista os privilégios de cada processo.
• getsids: exibe os SIDs (Security Identifiers) de cada processo.
• hivelist: lista os hives do Registro.
• hashdump: extrai hashes de senha do SAM e do sistema.
• userassist: exibe informações sobre programas abertos pelo usuário.
• shellbags: lista pastas acessadas recentemente.
• mbrparser: analisa o Registro de Mestre de Inicialização (MBR).
• mftparser: analisa a Tabela de Arquivos Mestra (MFT).
• yarascan: executa uma varredura YARA na memória.
• memmap: exibe um mapa de memória.
• vadinfo: exibe informações sobre regiões de memória alocadas.
• vaddump: extrai regiões de memória específicas.
• memdump: faz o despejo de uma região de memória específica.
• memstrings: extrai sequências de caracteres ASCII e Unicode da memória.
• timeliner: cria uma linha do tempo da atividade do sistema.
• malsysproc: identifica processos suspeitos.
• malthfind: procura por manipulações suspeitas de threads.
• malthreat: identifica ameaças na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• **

volatility --profile=PROFILE pstree -f file.dmp # Get process tree (not hidden)
volatility --profile=PROFILE pslist -f file.dmp # Get process list (EPROCESS)
volatility --profile=PROFILE psscan -f file.dmp # Get hidden process list(malware)
volatility --profile=PROFILE psxview -f file.dmp # Get hidden process list

Despejar proc

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory

{% endtab %}

{% tab title="vol2" %}O seguinte é um resumo das principais funções do Volatility para análise de despejo de memória:

• imageinfo: Exibe informações gerais sobre o despejo de memória.
• kdbgscan: Localiza o depurador do kernel (KDBG) no despejo de memória.
• pslist: Lista os processos em execução no despejo de memória.
• psscan: Examina os processos em execução no despejo de memória.
• pstree: Exibe os processos em forma de árvore no despejo de memória.
• dlllist: Lista as DLLs carregadas na memória.
• handles: Exibe os identificadores de objeto e os processos que possuem alças abertas.
• cmdline: Exibe os argumentos da linha de comando dos processos.
• filescan: Examina as seções de memória em busca de estruturas de arquivos.
• netscan: Lista as conexões de rede.
• connections: Exibe os sockets de rede.
• svcscan: Lista os serviços em execução.
• malfind: Localiza possíveis malwares na memória.
• yarascan: Executa varreduras YARA na memória.
• dumpfiles: Extrai arquivos do despejo de memória.
• memmap: Exibe os intervalos de endereços de memória usados.
• malfind: Localiza possíveis malwares na memória.
• apihooks: Exibe os ganchos de API.
• ldrmodules: Lista os módulos carregados.
• modscan: Localiza módulos do kernel.
• ssdt: Exibe a Tabela de Despacho de Serviços do Sistema (SSDT).
• callbacks: Exibe os callbacks registrados.
• devicetree: Exibe a árvore de dispositivos.
• driverirp: Exibe IRPs de driver.
• printkey: Exibe as chaves do Registro de impressão.
• privs: Exibe os privilégios do processo.
• getsids: Exibe os SIDs dos processos.
• hivelist: Lista os hives do Registro.
• hivedump: Extrai um hive do Registro.
• hashdump: Extrai hashes de senha.
• userassist: Exibe entradas UserAssist.
• shellbags: Exibe entradas ShellBags.
• mbrparser: Analisa o Registro de Mestre de Boot (MBR).
• mftparser: Analisa a Tabela de Arquivos Mestra (MFT).
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• atomscan: Examina os átomos do Windows.
• **atom

volatility --profile=Win7SP1x86_23418 procdump --pid=3152 -n --dump-dir=. -f file.dmp

{% endtab %} {% endtabs %}

Linha de comando

Alguma coisa suspeita foi executada?

python3 vol.py -f file.dmp windows.cmdline.CmdLine #Display process command-line arguments

{% endtab %}

{% tab title="vol2" %}O Volatility é uma ferramenta poderosa para análise de dumps de memória. Abaixo estão alguns comandos úteis para análise de dumps de memória com o Volatility:

• Identificar o perfil do sistema operacional:

  volatility -f memdump.mem imageinfo
  

• Listar todos os processos em execução:

  volatility -f memdump.mem pslist
  

• Analisar os sockets de rede abertos:

  volatility -f memdump.mem netscan
  

• Analisar os registros de eventos (event logs):

  volatility -f memdump.mem evtlogs
  

• Analisar os drivers carregados:

  volatility -f memdump.mem ldrmodules
  

• Analisar os arquivos abertos por processos:

  volatility -f memdump.mem filescan
  

• Analisar os registros do registro do Windows:

  volatility -f memdump.mem hivelist
  

• Extrair um arquivo específico da memória:

  volatility -f memdump.mem dumpfiles -Q <endereço_do_arquivo>
  

• Analisar os tokens de segurança:

  volatility -f memdump.mem getsids
  

• Analisar os processos e módulos injetados:

  volatility -f memdump.mem malfind
  

• Analisar as conexões de rede:

  volatility -f memdump.mem connscan
  

• Analisar os registros de transações do Windows:

  volatility -f memdump.mem shimcache
  

• Analisar os objetos de memória física:

  volatility -f memdump.mem physmap
  

• Analisar os objetos de memória virtual:

  volatility -f memdump.mem vadinfo
  

• Analisar os processos e threads:

  volatility -f memdump.mem pstree
  

• Analisar os handles de arquivos:

  volatility -f memdump.mem handles
  

• Analisar os objetos de segurança:

  volatility -f memdump.mem sids
  

• Analisar os objetos de registro:

  volatility -f memdump.mem printkey -K <hive_key>
  

• Analisar os serviços e drivers:

  volatility -f memdump.mem svcscan
  

• Analisar os processos e suas DLLs:

  volatility -f memdump.mem dlllist
  

• Analisar os processos e suas threads:

  volatility -f memdump.mem threads
  

• Analisar os processos e suas manipulações de registro:

  volatility -f memdump.mem handles
  

• Analisar os processos e suas portas de rede:

  volatility -f memdump.mem connscan
  

• Analisar os processos e suas propriedades de segurança:

  volatility -f memdump.mem getsids
  

• Analisar os processos e suas DLLs carregadas:

  volatility -f memdump.mem dlllist
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

{% endtab %}

volatility --profile=PROFILE cmdline -f file.dmp #Display process command-line arguments
volatility --profile=PROFILE consoles -f file.dmp #command history by scanning for _CONSOLE_INFORMATION

{% endtab %} {% endtabs %}

Os comandos inseridos no cmd.exe são processados pelo conhost.exe (csrss.exe antes do Windows 7). Portanto, mesmo que um atacante consiga encerrar o cmd.exe antes de obtermos um dump de memória, ainda há uma boa chance de recuperar o histórico da sessão de linha de comando da memória do conhost.exe. Se encontrar algo estranho (usando os módulos do console), tente fazer dump da memória do processo associado ao conhost.exe e pesquisar por strings dentro dele para extrair as linhas de comando.

Ambiente

Obtenha as variáveis de ambiente de cada processo em execução. Pode haver valores interessantes.

python3 vol.py -f file.dmp windows.envars.Envars [--pid <pid>] #Display process environment variables

{% endtab %}

{% tab title="vol2" %}O Volatility é uma ferramenta poderosa para análise de dumps de memória. Abaixo estão alguns comandos úteis para análise de dumps de memória com o Volatility:

• Identificar o perfil do sistema operacional:

  volatility -f memdump.mem imageinfo
  

• Listar processos em execução:

  volatility -f memdump.mem pslist
  

• Analisar conexões de rede:

  volatility -f memdump.mem connections
  

• Analisar registros de registro:

  volatility -f memdump.mem hivelist
  volatility -f memdump.mem printkey -o OFFSET
  

• Analisar arquivos abertos:

  volatility -f memdump.mem filescan
  

• Analisar módulos carregados:

  volatility -f memdump.mem ldrmodules
  

• Analisar cache DNS:

  volatility -f memdump.mem cachedump
  

• Analisar tokens de acesso:

  volatility -f memdump.mem tokens
  

• Analisar processos e DLLs injetados:

  volatility -f memdump.mem malfind
  

• Analisar pool de tags:

  volatility -f memdump.mem poolpeek
  

• Analisar handlers de IRP:

  volatility -f memdump.mem irp
  

• Analisar objetos de processo:

  volatility -f memdump.mem psxview
  

• Analisar registros de eventos:

  volatility -f memdump.mem evtlogs
  

• Analisar drivers de kernel:

  volatility -f memdump.mem driverscan
  

• Analisar serviços e drivers:

  volatility -f memdump.mem svcscan
  

• Analisar portas e sockets:

  volatility -f memdump.mem sockets
  

• Analisar tarefas agendadas:

  volatility -f memdump.mem getsids
  

• Analisar SID e usuários:

  volatility -f memdump.mem getsids
  

• Analisar cache de registro:

  volatility -f memdump.mem printkey -o OFFSET
  

• Analisar arquivos executáveis:

  volatility -f memdump.mem malsysproc
  

• Analisar arquivos executáveis e módulos:

  volatility -f memdump.mem malfind
  

• Analisar arquivos executáveis e módulos (opção mais detalhada):

  volatility -f memdump.mem malfind -v
  

• Analisar arquivos executáveis e módulos (opção mais detalhada com offset):

  volatility -f memdump.mem malfind -v -p PID
  

• Analisar arquivos executáveis e módulos (opção mais detalhada com offset e endereço base):

  volatility -f memdump.mem malfind -v -p PID --base=ADDRESS
  

• Analisar arquivos executáveis e módulos (opção mais detalhada com offset, endereço base e tamanho):

  volatility -f memdump.mem malfind -v -p PID --base=ADDRESS --size=SIZE
  

• Analisar arquivos executáveis e módulos (opção mais detalhada com offset, endereço base, tamanho e dump):

  volatility -f memdump.mem malfind -v -p PID --base=ADDRESS --size=SIZE --dump-dir=DIRECTORY
  

• Analisar arquivos executáveis e módulos (opção mais detalhada com offset, endereço base, tamanho, dump e nome do arquivo):

  volatility -f memdump.mem malfind -v -p PID --base=ADDRESS --size=SIZE --dump-dir=DIRECTORY --dump-name=FILENAME
  

{% endtab %}

volatility --profile=PROFILE envars -f file.dmp [--pid <pid>] #Display process environment variables

volatility --profile=PROFILE -f file.dmp linux_psenv [-p <pid>] #Get env of process. runlevel var means the runlevel where the proc is initated

Privilégios de Token

Verifique os tokens de privilégio em serviços inesperados.
Pode ser interessante listar os processos que estão usando algum token privilegiado.

#Get enabled privileges of some processes
python3 vol.py -f file.dmp windows.privileges.Privs [--pid <pid>]
#Get all processes with interesting privileges
python3 vol.py -f file.dmp windows.privileges.Privs | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

{% endtab %}

{% tab title="vol2" %}O seguinte é um resumo das principais funções do Volatility para análise de despejo de memória:

• imageinfo: Exibe informações gerais sobre o despejo de memória.
• kdbgscan: Localiza o valor do depurador do kernel (KDBG).
• pslist: Lista os processos em execução.
• pstree: Exibe os processos em forma de árvore.
• dlllist: Lista os módulos DLL carregados em cada processo.
• handles: Exibe os identificadores de objeto abertos por cada processo.
• cmdline: Exibe os argumentos da linha de comando de cada processo.
• filescan: Escaneia a memória em busca de estruturas de dados de arquivos.
• malfind: Identifica possíveis malwares na memória.
• yarascan: Utiliza regras YARA para procurar padrões na memória.
• dump: Cria um arquivo de despejo de memória para um processo específico.
• memdump: Cria um despejo de memória completo.
• linux_bash: Analisa a memória de um processo bash no Linux.
• linux_check_afinfo: Verifica as entradas de soquete AF_INFO no Linux.
• linux_check_creds: Verifica as credenciais no Linux.
• linux_check_fop: Verifica as operações de arquivo no Linux.
• linux_check_idt: Verifica a tabela de interrupções no Linux.
• linux_check_modules: Lista os módulos carregados no Linux.
• linux_check_syscall: Verifica as chamadas de sistema no Linux.
• linux_lsmod: Lista os módulos do kernel no Linux.
• linux_psaux: Exibe informações auxiliares do processo no Linux.
• linux_pslist: Lista os processos em execução no Linux.
• linux_pstree: Exibe os processos em forma de árvore no Linux.
• linux_yarascan: Utiliza regras YARA para procurar padrões na memória do Linux.

Estas funções são essenciais para a análise forense de despejos de memória usando o Volatility. {% endtab %}

#Get enabled privileges of some processes
volatility --profile=Win7SP1x86_23418 privs --pid=3152 -f file.dmp | grep Enabled
#Get all processes with interesting privileges
volatility --profile=Win7SP1x86_23418 privs -f file.dmp | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

{% endtab %} {% endtabs %}

SIDs

Verifique cada SSID possuído por um processo.
Pode ser interessante listar os processos que usam um SID de privilégios (e os processos que usam algum SID de serviço).

./vol.py -f file.dmp windows.getsids.GetSIDs [--pid <pid>] #Get SIDs of processes
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

{% endtab %}

{% tab title="vol2" %}O Volatility é uma ferramenta poderosa para análise de dumps de memória. Abaixo estão alguns comandos úteis para análise de dumps de memória com o Volatility:

• Identificar o perfil do sistema operacional:

  volatility -f memdump.mem imageinfo
  

• Listar processos em execução:

  volatility -f memdump.mem --profile=PerfilDoSistema pslist
  

• Analisar processos em detalhes:

  volatility -f memdump.mem --profile=PerfilDoSistema pstree
  

• Analisar portas de rede abertas:

  volatility -f memdump.mem --profile=PerfilDoSistema --plugins=plugins/sockets.py sockets
  

• Analisar conexões de rede:

  volatility -f memdump.mem --profile=PerfilDoSistema connections
  

• Analisar registros de eventos:

  volatility -f memdump.mem --profile=PerfilDoSistema evtlogs
  

• Analisar cache DNS:

  volatility -f memdump.mem --profile=PerfilDoSistema --plugins=plugins/dns_cache.py dnscache
  

• Analisar drivers carregados:

  volatility -f memdump.mem --profile=PerfilDoSistema driverscan
  

• Analisar módulos do kernel:

  volatility -f memdump.mem --profile=PerfilDoSistema modscan
  

• Analisar handles abertos por processos:

  volatility -f memdump.mem --profile=PerfilDoSistema handles
  

• Analisar registros de registro:

  volatility -f memdump.mem --profile=PerfilDoSistema printkey -o <offset>
  

• Analisar arquivos abertos por processos:

  volatility -f memdump.mem --profile=PerfilDoSistema filescan
  

• Extrair um arquivo específico:

  volatility -f memdump.mem --profile=PerfilDoSistema dumpfiles -Q <offset>
  

• Analisar pool de tags:

  volatility -f memdump.mem --profile=PerfilDoSistema poolscanner
  

• Analisar objetos de segurança:

  volatility -f memdump.mem --profile=PerfilDoSistema handles
  

• Analisar tokens de segurança:

  volatility -f memdump.mem --profile=PerfilDoSistema tokens
  

• Analisar processos e módulos injetados:

  volatility -f memdump.mem --profile=PerfilDoSistema malfind
  

• Analisar rootkits:

  volatility -f memdump.mem --profile=PerfilDoSistema rootkit
  

• Analisar arquivos não mapeados:

  volatility -f memdump.mem --profile=PerfilDoSistema malfind -p <PID>
  

• Analisar arquivos não mapeados:

  volatility -f memdump.mem --profile=PerfilDoSistema malfind -p <PID>
  

{% endtab %}

volatility --profile=Win7SP1x86_23418 getsids -f file.dmp #Get the SID owned by each process
volatility --profile=Win7SP1x86_23418 getservicesids -f file.dmp #Get the SID of each service

Handles

Útil para saber a quais outros arquivos, chaves, threads, processos... um processo tem um identificador para (abriu)

vol.py -f file.dmp windows.handles.Handles [--pid <pid>]

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• psscan: verifica os processos ocultos.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objeto aberto para cada processo.
• cmdline: mostra os argumentos da linha de comando de cada processo.
• consoles: lista os consoles associados a cada processo.
• vadinfo: exibe informações sobre regiões de memória alocadas.
• vadtree: exibe as regiões de memória alocadas em formato de árvore.
• malfind: procura por possíveis malwares na memória.
• apihooks: identifica possíveis ganchos de API.
• ldrmodules: lista os módulos carregados em cada processo.
• modscan: verifica módulos do kernel carregados.
• ssdt: exibe a Tabela de Despacho de Serviços do Sistema.
• callbacks: lista os callbacks do kernel.
• devicetree: exibe a árvore de dispositivos.
• driverirp: lista as estruturas de solicitação de pacote (IRP) do driver.
• printkey: exibe as chaves do Registro de impressão.
• privs: lista os privilégios do processo.
• getsids: exibe os SIDs associados a cada processo.
• dumpfiles: extrai arquivos do espaço de endereço de um processo.
• memmap: exibe o mapeamento de memória física e virtual.
• memdump: cria um despejo de memória de um processo específico.
• malfind: procura por possíveis malwares na memória.
• yarascan: executa uma varredura Yara na memória.
• malfind: procura por possíveis malwares na memória.

Esses comandos podem ser úteis ao realizar análises forenses em despejos de memória. {% endtab %}

volatility --profile=Win7SP1x86_23418 -f file.dmp handles [--pid=<pid>]

DLLs

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.dlllist.DllList [--pid <pid>] #List dlls used by each
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory process

{% endtab %}

{% tab title="vol2" %}## Folha de dicas do Volatility

Comandos básicos

• imageinfo: exibe informações básicas sobre a imagem de memória
• pslist: lista os processos em execução
• pstree: exibe os processos em formato de árvore
• psscan: escaneia todos os processos
• dlllist: lista as DLLs carregadas por cada processo
• cmdline: exibe os argumentos da linha de comando de um processo
• filescan: escaneia os handles de arquivo
• handles: exibe os handles de arquivo de um processo
• vadinfo: exibe informações sobre regiões de memória alocadas
• vadtree: exibe as regiões de memória alocadas em formato de árvore
• malfind: encontra possíveis injeções de malware em processos
• yarascan: escaneia a memória em busca de padrões com o Yara

Plugins úteis

• malfind: encontra possíveis injeções de malware em processos
• malfind: encontra possíveis injeções de malware em processos
• malfind: encontra possíveis injeções de malware em processos
• malfind: encontra possíveis injeções de malware em processos

Análise de memória

• vol.py -f memdump.mem imageinfo: exibe informações básicas sobre a imagem de memória
• vol.py -f memdump.mem --profile=Win7SP1x64 pstree: exibe a árvore de processos em um dump de memória
• vol.py -f memdump.mem --profile=Win7SP1x64 malfind: procura por injeções de malware em um dump de memória

Análise de registro

• vol.py -f memdump.mem --profile=Win7SP1x64 printkey -K "Software\Microsoft\Windows\CurrentVersion\Run": exibe as chaves de registro relacionadas aos programas que são executados na inicialização
• vol.py -f memdump.mem --profile=Win7SP1x64 hivelist: lista os hives de registro presentes na memória
• vol.py -f memdump.mem --profile=Win7SP1x64 printkey -o 0xfffff8a000002010 -K "ControlSet001\Services\Tcpip": exibe informações sobre uma chave de registro específica

Análise de rede

• vol.py -f memdump.mem --profile=Win7SP1x64 netscan: exibe informações sobre sockets de rede
• vol.py -f memdump.mem --profile=Win7SP1x64 connscan: exibe informações sobre conexões de rede
• vol.py -f memdump.mem --profile=Win7SP1x64 sockets: lista os sockets de rede ativos

Análise de arquivos

• vol.py -f memdump.mem --profile=Win7SP1x64 filescan: escaneia os handles de arquivo
• vol.py -f memdump.mem --profile=Win7SP1x64 handles: exibe os handles de arquivo de um processo
• vol.py -f memdump.mem --profile=Win7SP1x64 dumpfiles -Q 0x000000007efdd000 -D .: extrai um arquivo específico da memória

Análise de processos

• vol.py -f memdump.mem --profile=Win7SP1x64 pslist: lista os processos em execução
• vol.py -f memdump.mem --profile=Win7SP1x64 psscan: escaneia todos os processos
• vol.py -f memdump.mem --profile=Win7SP1x64 cmdline -p 1234: exibe os argumentos da linha de comando de um processo específico

Análise de malware

• vol.py -f memdump.mem --profile=Win7SP1x64 malfind: encontra possíveis injeções de malware em processos
• vol.py -f memdump.mem --profile=Win7SP1x64 yarascan -Y "malware": escaneia a memória em busca de padrões de malware

Outras ferramentas

• volshell: shell interativa para análise de memória
• volatilityapi: API Python para automação de análise de memória

{% endtab %}

volatility --profile=Win7SP1x86_23418 dlllist --pid=3152 -f file.dmp #Get dlls of a proc
volatility --profile=Win7SP1x86_23418 dlldump --pid=3152 --dump-dir=. -f file.dmp #Dump dlls of a proc

Strings por processos

O Volatility nos permite verificar a qual processo uma string pertence.

strings file.dmp > /tmp/strings.txt
./vol.py -f /tmp/file.dmp windows.strings.Strings --strings-file /tmp/strings.txt

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• psscan: verifica os processos ocultos.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objeto aberto para cada processo.
• cmdline: exibe os argumentos da linha de comando de cada processo.
• consoles: lista os consoles associados a cada processo.
• filescan: verifica os arquivos mapeados na memória.
• svcscan: lista os serviços do Windows.
• connections: exibe as conexões de rede.
• malfind: procura por possíveis malwares na memória.
• apihooks: identifica possíveis ganchos de API.
• ldrmodules: lista os módulos carregados em cada processo.
• modscan: verifica os módulos do kernel.
• ssdt: exibe a Tabela de Despacho de Serviços do Sistema.
• callbacks: lista os callbacks do kernel.
• driverirp: exibe as rotinas de tratamento de solicitação de E/S do driver.
• idt: exibe a Tabela de Descritores de Interrupção.
• gdt: exibe a Tabela de Descritores Globais.
• userassist: exibe informações sobre programas usados com frequência.
• mftparser: analisa o arquivo de tabela mestra (MFT) do NTFS.
• hashdump: extrai hashes de senha do SAM ou do arquivo SYSTEM.
• hivelist: lista os arquivos de registro carregados na memória.
• printkey: exibe as subchaves e valores de uma chave de registro.
• deskscan: verifica os objetos de área de trabalho.
• getsids: exibe os SIDs dos processos.
• getsids2: exibe os SIDs dos processos e dos objetos.
• psxview: detecta processos ocultos.
• yarascan: executa uma varredura YARA na memória.
• yara: executa uma regra YARA na memória.
• dumpfiles: extrai arquivos da memória.
• dumpregistry: extrai chaves de registro da memória.
• dumpcerts: extrai certificados da memória.
• dlldump: extrai DLLs da memória.
• memmap: exibe um mapa de memória.
• vadinfo: exibe informações sobre regiões de memória virtuais.
• vaddump: extrai regiões de memória virtuais.
• vadtree: exibe as regiões de memória virtuais em formato de árvore.
• vadwalk: exibe as regiões de memória virtuais em um processo específico.
• vadlist: lista as regiões de memória virtuais.
• vadcross: exibe as regiões de memória virtuais cruzadas.
• vaddiff: compara as regiões de memória virtuais entre dois processos.
• vadrun: executa um script em cada região de memória virtual.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura por possíveis malwares na memória.
• malfind: procura

strings file.dmp > /tmp/strings.txt
volatility -f /tmp/file.dmp windows.strings.Strings --string-file /tmp/strings.txt

volatility -f /tmp/file.dmp --profile=Win81U1x64 memdump -p 3532 --dump-dir .
strings 3532.dmp > strings_file

Permite também pesquisar strings dentro de um processo usando o módulo yarascan:

./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-rules "https://" --pid 3692 3840 3976 3312 3084 2784
./vol.py -f file.dmp yarascan.YaraScan --yara-rules "https://"

{% endtab %}

{% tab title="vol2" %}O seguinte é um resumo das principais funções do Volatility para análise de despejo de memória:

• imageinfo: Exibe informações gerais sobre o despejo de memória.
• kdbgscan: Localiza o valor do depurador do kernel (KDBG).
• pslist: Lista os processos em execução.
• pstree: Exibe os processos em forma de árvore.
• dlllist: Lista as DLLs carregadas em cada processo.
• handles: Exibe os identificadores de objeto abertos por cada processo.
• cmdline: Exibe os argumentos da linha de comando de cada processo.
• filescan: Escaneia a memória em busca de estruturas de arquivos.
• malfind: Identifica possíveis malwares na memória.
• yarascan: Utiliza regras YARA para procurar padrões na memória.
• dumpfiles: Extrai arquivos da memória.
• memdump: Cria um despejo de memória de um processo específico.
• connscan: Analisa os sockets de rede abertos.
• sockets: Lista os sockets de rede.
• autoruns: Lista os programas que são executados automaticamente.
• svcscan: Lista os serviços do Windows.
• callbacks: Exibe os callbacks do kernel.
• modscan: Lista os módulos do kernel carregados.
• ssdt: Exibe a Tabela de Despacho de Serviços do Sistema (SSDT).
• driverirp: Exibe as estruturas de solicitação de pacote (IRP) do driver.
• devicetree: Exibe a árvore de dispositivos.
• printkey: Exibe as chaves do Registro de impressão.
• hivelist: Lista os hives do Registro.
• hivedump: Cria um despejo de um hive do Registro.
• hashdump: Extrai senhas em hash.
• userassist: Exibe programas frequentemente usados.
• mbrparser: Analisa o Registro de Mestre de Boot (MBR).
• apihooks: Exibe os ganchos de API.
• ldrmodules: Lista os módulos carregados pelo carregador.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Analisa os átomos do Windows.
• atomscan: Anal

volatility --profile=Win7SP1x86_23418 yarascan -Y "https://" -p 3692,3840,3976,3312,3084,2784

UserAssist

Sistemas Windows mantêm um conjunto de chaves no banco de dados do registro (chaves UserAssist) para rastrear os programas que são executados. O número de execuções e a data e hora da última execução estão disponíveis nessas chaves.

./vol.py -f file.dmp windows.registry.userassist.UserAssist

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: Exibe informações gerais sobre a imagem de memória.
• pslist: Lista os processos em execução.
• pstree: Exibe os processos em forma de árvore.
• psscan: Escaneia processos ocultos.
• dlllist: Lista as DLLs carregadas em cada processo.
• handles: Exibe os identificadores de objetos abertos por cada processo.
• cmdline: Mostra os argumentos da linha de comando de cada processo.
• consoles: Lista os consoles de cada processo.
• malfind: Encontra possíveis injeções de malware na memória.
• apihooks: Identifica possíveis ganchos de API em processos.
• ldrmodules: Lista os módulos carregados em cada processo.
• svcscan: Escaneia os registros de serviços.
• connections: Lista as conexões de rede.
• sockets: Exibe informações sobre os sockets de rede.
• devicetree: Mostra a árvore de dispositivos.
• modscan: Escaneia módulos do kernel.
• ssdt: Exibe a Tabela de Descrição de Serviço do Sistema.
• callbacks: Lista os callbacks do kernel.
• mutantscan: Escaneia objetos de mutante.
• filescan: Escaneia arquivos mapeados na memória.
• yarascan: Escaneia a memória em busca de padrões YARA.
• dumpfiles: Extrai arquivos da memória.
• dumpregistry: Extrai o registro do Windows da memória.
• memmap: Exibe um mapa de memória.
• vadinfo: Exibe informações sobre regiões de memória alocadas virtualmente.
• vaddump: Extrai regiões de memória alocadas virtualmente.
• malfind: Encontra possíveis injeções de malware na memória.
• apihooks: Identifica possíveis ganchos de API em processos.
• ldrmodules: Lista os módulos carregados em cada processo.
• svcscan: Escaneia os registros de serviços.
• connections: Lista as conexões de rede.
• sockets: Exibe informações sobre os sockets de rede.
• devicetree: Mostra a árvore de dispositivos.
• modscan: Escaneia módulos do kernel.
• ssdt: Exibe a Tabela de Descrição de Serviço do Sistema.
• callbacks: Lista os callbacks do kernel.
• mutantscan: Escaneia objetos de mutante.
• filescan: Escaneia arquivos mapeados na memória.
• yarascan: Escaneia a memória em busca de padrões YARA.
• dumpfiles: Extrai arquivos da memória.
• dumpregistry: Extrai o registro do Windows da memória.
• memmap: Exibe um mapa de memória.
• vadinfo: Exibe informações sobre regiões de memória alocadas virtualmente.
• vaddump: Extrai regiões de memória alocadas virtualmente.{% endtab %}

volatility --profile=Win7SP1x86_23418 -f file.dmp userassist

{% endtab %} {% endtabs %}

​

​​​​RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.

{% embed url="https://www.rootedcon.com/" %}

Serviços

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.svcscan.SvcScan #List services
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos comuns do Volatility que podem ser úteis durante a análise de um dump de memória:

• imageinfo: exibe informações gerais sobre o dump de memória.
• pslist: lista os processos em execução no dump de memória.
• pstree: exibe os processos em forma de árvore.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objetos abertos por cada processo.
• cmdline: exibe os argumentos da linha de comando de cada processo.
• filescan: escaneia a memória em busca de estruturas de dados de arquivos.
• dumpfiles: extrai arquivos do dump de memória.
• malfind: identifica possíveis malwares na memória.
• apihooks: lista os ganchos de API presentes na memória.
• ldrmodules: exibe os módulos carregados em cada processo.
• svcscan: lista os serviços presentes na memória.
• connections: exibe informações sobre conexões de rede.
• sockets: lista os sockets de rede abertos.
• connscan: escaneia a memória em busca de objetos de conexão.
• autoruns: lista os programas configurados para serem executados automaticamente.
• printkey: exibe informações sobre chaves do registro do Windows.
• hivelist: lista os hives do registro presentes na memória.
• hashdump: extrai hashes de senhas da memória.
• kdbgscan: identifica o endereço do depurador do kernel.
• modscan: escaneia a memória em busca de módulos do kernel.
• ssdt: exibe a Tabela de Despacho de Serviços do Sistema.
• gdt: exibe a Tabela de Descritores Globais.
• idt: exibe a Tabela de Despacho de Interrupções.
• callbacks: lista os callbacks registrados.
• driverirp: exibe as IRPs (Pacotes de Requisição de E/S) manipuladas por drivers.
• devicetree: exibe a árvore de dispositivos.
• printers: lista as impressoras instaladas.
• privs: exibe os privilégios de segurança.
• getsids: lista os SIDs (Identificadores de Segurança) dos processos.
• psxview: exibe processos ocultos.
• shimcache: exibe informações sobre a Shim Cache.
• mbrparser: analisa o Registro Mestre de Inicialização.
• yarascan: escaneia a memória em busca de padrões usando YARA.
• yarascan: escaneia a memória em busca de padrões usando YARA.
• yara: executa regras YARA na memória.
• yarascan: escaneia a memória em busca de padrões usando YARA.
• yara: executa regras YARA na memória.

#Get services and binary path
volatility --profile=Win7SP1x86_23418 svcscan -f file.dmp
#Get name of the services and SID (slow)
volatility --profile=Win7SP1x86_23418 getservicesids -f file.dmp

Rede

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.netscan.NetScan
#For network info of linux use volatility2

{% endtab %}

{% tab title="vol2" %}O Volatility é uma ferramenta poderosa para análise de dumps de memória. Abaixo estão alguns comandos úteis para análise de dumps de memória com o Volatility:

• Identificar o perfil do sistema operacional:

  volatility -f memdump.mem imageinfo
  

• Listar processos em execução:

  volatility -f memdump.mem pslist
  

• Analisar conexões de rede:

  volatility -f memdump.mem connections
  

• Analisar registros de registro:

  volatility -f memdump.mem hivelist
  volatility -f memdump.mem printkey -o OFFSET
  

• Analisar arquivos abertos:

  volatility -f memdump.mem filescan
  

• Analisar módulos carregados:

  volatility -f memdump.mem ldrmodules
  

• Analisar cache de DNS:

  volatility -f memdump.mem cachedump
  

• Analisar tokens de acesso:

  volatility -f memdump.mem tokens
  

• Analisar processos e DLLs injetados:

  volatility -f memdump.mem malfind
  

• Analisar pool de tags:

  volatility -f memdump.mem poolscan
  

• Analisar handlers de objetos:

  volatility -f memdump.mem handles
  

• Analisar drivers de kernel:

  volatility -f memdump.mem driverscan
  

• Analisar registros de eventos:

  volatility -f memdump.mem evtlogs
  

• Analisar tarefas agendadas:

  volatility -f memdump.mem getsids
  

• Analisar SID e usuários:

  volatility -f memdump.mem getsids
  

• Analisar serviços:

  volatility -f memdump.mem svcscan
  

• Analisar portas abertas:

  volatility -f memdump.mem sockets
  

• Analisar cache de registro:

  volatility -f memdump.mem printkey -o OFFSET
  

• Analisar arquivos executáveis:

  volatility -f memdump.mem psxview
  

• Analisar shellbags:

  volatility -f memdump.mem shellbags
  

• Analisar arquivos recentes:

  volatility -f memdump.mem shellbags
  

• Analisar arquivos recentes:

  volatility -f memdump.mem timeliner
  

• Analisar cache de URL:

  volatility -f memdump.mem iehistory
  

• Analisar histórico de comandos:

  volatility -f memdump.mem cmdscan
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem hivelist
  volatility -f memdump.mem printkey -o OFFSET
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem userassist
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem shimcache
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem mftparser
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem yarascan
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem modscan
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem apihooks
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem callbacks
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem idt
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem gdt
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem ssdt
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem driverscan
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem devicetree
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem iat
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem svcscan
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem mutantscan
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem threads
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem vadinfo
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem vadtree
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem vadwalk
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem dlldump -D <output_directory>
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem dlldump -p <pid> -D <output_directory>
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem procdump -p <pid> -D <output_directory>
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem memdump -p <pid> -D <output_directory>
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem memmap
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem memmap --profile=<profile>
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem memdump --profile=<profile> -p <pid> -D <output_directory>
  

• Analisar arquivos de configuração:

  volatility -f memdump.mem memdump --profile=<profile> -p <pid> -D <output_directory>
  

volatility --profile=Win7SP1x86_23418 netscan -f file.dmp
volatility --profile=Win7SP1x86_23418 connections -f file.dmp#XP and 2003 only
volatility --profile=Win7SP1x86_23418 connscan -f file.dmp#TCP connections
volatility --profile=Win7SP1x86_23418 sockscan -f file.dmp#Open sockets
volatility --profile=Win7SP1x86_23418 sockets -f file.dmp#Scanner for tcp socket objects

volatility --profile=SomeLinux -f file.dmp linux_ifconfig
volatility --profile=SomeLinux -f file.dmp linux_netstat
volatility --profile=SomeLinux -f file.dmp linux_netfilter
volatility --profile=SomeLinux -f file.dmp linux_arp #ARP table
volatility --profile=SomeLinux -f file.dmp linux_list_raw #Processes using promiscuous raw sockets (comm between processes)
volatility --profile=SomeLinux -f file.dmp linux_route_cache

Registro do registro

Imprimir hives disponíveis

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.registry.hivelist.HiveList #List roots
./vol.py -f file.dmp windows.registry.printkey.PrintKey #List roots and get initial subkeys

{% endtab %}

{% tab title="vol2" %}O Volatility é uma ferramenta poderosa para análise de dumps de memória. Abaixo estão alguns comandos úteis para análise de dumps de memória com o Volatility:

• Identificar o perfil do sistema operacional:

  volatility -f memdump.mem imageinfo
  

• Listar todos os processos em execução:

  volatility -f memdump.mem pslist
  

• Analisar os sockets de rede abertos:

  volatility -f memdump.mem netscan
  

• Analisar os registros de eventos:

  volatility -f memdump.mem evnets
  

• Analisar os drivers carregados:

  volatility -f memdump.mem ldrmodules
  

• Analisar os arquivos abertos por processos:

  volatility -f memdump.mem filescan
  

• Analisar os registros do registro do Windows:

  volatility -f memdump.mem printkey -K "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
  

• Analisar os processos e módulos injetados:

  volatility -f memdump.mem malfind
  

• Analisar os tokens de segurança:

  volatility -f memdump.mem getsids
  

• Analisar os handles de arquivos:

  volatility -f memdump.mem handles
  

• Analisar os processos e suas DLLs carregadas:

  volatility -f memdump.mem dlllist
  

• Analisar os processos e suas threads:

  volatility -f memdump.mem pstree
  

• Analisar os processos e suas portas de rede:

  volatility -f memdump.mem connscan
  

• Analisar os processos e suas propriedades de segurança:

  volatility -f memdump.mem psxview
  

• Analisar os processos e suas manipulações de objetos:

  volatility -f memdump.mem handles
  

• Analisar os processos e suas informações de ambiente:

  volatility -f memdump.mem envars
  

• Analisar os processos e suas informações de threads:

  volatility -f memdump.mem threads
  

• Analisar os processos e suas informações de VAD:

  volatility -f memdump.mem vadinfo
  

• Analisar os processos e suas informações de VADs:

  volatility -f memdump.mem vadtree
  

• Analisar os processos e suas informações de VADs (árvore):

  volatility -f memdump.mem vadtree
  

• Analisar os processos e suas informações de VADs (árvore com detalhes):

  volatility -f memdump.mem vadtree -v
  

• Analisar os processos e suas informações de VADs (árvore com detalhes e endereços):

  volatility -f memdump.mem vadtree -v -p PID
  

• Analisar os processos e suas informações de VADs (árvore com detalhes e endereços):

  volatility -f memdump.mem vadtree -v -p PID
  

{% endtab %}

volatility --profile=Win7SP1x86_23418 -f file.dmp hivelist #List roots
volatility --profile=Win7SP1x86_23418 -f file.dmp printkey #List roots and get initial subkeys

Obter um valor

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.registry.printkey.PrintKey --key "Software\Microsoft\Windows NT\CurrentVersion"

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• psscan: verifica os processos ocultos.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objeto aberto para cada processo.
• cmdline: exibe os argumentos da linha de comando de cada processo.
• consoles: lista os consoles associados a cada processo.
• malfind: procura por possíveis injeções de malware.
• apihooks: identifica possíveis ganchos de API.
• ldrmodules: lista os módulos carregados em cada processo.
• svcscan: lista os serviços do Windows.
• connections: exibe as conexões de rede.
• sockets: lista os sockets de rede.
• devicetree: exibe a árvore de dispositivos.
• modscan: verifica módulos do kernel.
• ssdt: exibe a Tabela de Despacho de Serviço do Sistema.
• callbacks: lista os callbacks do kernel.
• driverirp: exibe IRPs de driver.
• idt: exibe a Tabela de Descritores de Interrupção.
• gdt: exibe a Tabela de Descritores Globais.
• userassist: exibe informações sobre programas usados com frequência.
• mftparser: analisa o arquivo de tabela mestra (MFT).
• filescan: procura por arquivos abertos.
• dumpfiles: extrai arquivos do espaço de endereço de um processo.
• memmap: exibe o mapeamento de memória.
• memdump: cria um despejo de memória de um processo específico.
• hashdump: extrai hashes de senha do sistema.
• hivelist: lista os hives do registro.
• printkey: exibe o conteúdo de uma chave de registro.
• cmdscan: procura por comandos executados.
• consoles: lista os consoles abertos.
• desktops: lista os desktops.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os SIDs dos processos.
• getsids: exibe os

volatility --profile=Win7SP1x86_23418 printkey -K "Software\Microsoft\Windows NT\CurrentVersion" -f file.dmp
# Get Run binaries registry value
volatility -f file.dmp --profile=Win7SP1x86 printkey -o 0x9670e9d0 -K 'Software\Microsoft\Windows\CurrentVersion\Run'

Despejar

#Dump a hive
volatility --profile=Win7SP1x86_23418 hivedump -o 0x9aad6148 -f file.dmp #Offset extracted by hivelist
#Dump all hives
volatility --profile=Win7SP1x86_23418 hivedump -f file.dmp

Sistema de arquivos

Montagem

{% tabs %} {% tab title="vol3" %}

#See vol2

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• psscan: verifica os processos ocultos.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objeto aberto para cada processo.
• cmdline: exibe os argumentos da linha de comando de cada processo.
• consoles: lista os consoles associados a cada processo.
• filescan: verifica os arquivos mapeados na memória.
• svcscan: lista os serviços do Windows.
• connections: exibe as conexões de rede.
• malfind: procura por possíveis malwares na memória.
• apihooks: identifica possíveis ganchos de API.
• ldrmodules: lista os módulos carregados em cada processo.
• modscan: verifica os módulos do kernel.
• ssdt: exibe a Tabela de Despacho de Serviço do Sistema.
• callbacks: lista os callbacks do kernel.
• driverirp: exibe as IRPs (Pacotes de Solicitação de E/S) manipuladas por drivers.
• devicetree: exibe a árvore de dispositivos.
• printkey: exibe as chaves do Registro de impressão.
• privs: lista os privilégios de cada processo.
• getsids: exibe os SIDs (Identificadores de Segurança) associados a cada processo.
• hivelist: lista os hives do Registro.
• hashdump: extrai hashes de senha do SAM e do sistema.
• userassist: exibe informações sobre programas usados com frequência.
• shellbags: lista pastas acessadas recentemente.
• mbrparser: analisa o Registro Mestre de Inicialização.
• mftparser: analisa a Tabela de Arquivos Mestra.
• yarascan: executa uma varredura YARA na memória.
• dumpfiles: extrai arquivos da memória.
• memmap: exibe um mapa de memória.
• vadinfo: exibe informações sobre regiões de memória alocadas.
• vaddump: extrai regiões de memória específicas.
• vadtree: exibe as regiões de memória em formato de árvore.
• vadwalk: exibe as regiões de memória em um processo específico.
• vadlist: lista as regiões de memória alocadas.
• vadcross: exibe as regiões de memória compartilhadas entre processos.
• vadroot: exibe as regiões de memória raiz.
• vadtag: exibe as tags de região de memória.
• vadtype: exibe os tipos de região de memória.
• vadflags: exibe as flags de região de memória.
• vadprotect: exibe as proteções de região de memória.
• vadusage: exibe o uso de região de memória.
• vadwalkdepth: exibe as regiões de memória em um processo com profundidade.
• vadwalkfast: exibe as regiões de memória em um processo de forma rápida.
• vadwalkslow: exibe as regiões de memória em um processo de forma lenta.
• vadwalkwide: exibe as regiões de memória em um processo de forma ampla.
• vadtree: exibe as regiões de memória em formato de árvore.
• vadinfo: exibe informações sobre regiões de memória alocadas.
• vadlist: lista as regiões de memória alocadas.
• vadtree: exibe as regiões de memória em formato de árvore.
• vadwalk: exibe as regiões de memória em um processo específico.
• vadcross: exibe as regiões de memória compartilhadas entre processos.
• vadroot: exibe as regiões de memória raiz.
• vadtag: exibe as tags de região de memória.
• vadtype: exibe os tipos de região de memória.
• vadflags: exibe as flags de região de memória.
• vadprotect: exibe as proteções de região de memória.
• vadusage: exibe o uso de região de memória.
• vadwalkdepth: exibe as regiões de memória em um processo com profundidade.
• vadwalkfast: exibe as regiões de memória em um processo de forma rápida.
• vadwalkslow: exibe as regiões de memória em um processo de forma lenta.
• vadwalkwide: exibe as regiões de memória em um processo de forma ampla.

volatility --profile=SomeLinux -f file.dmp linux_mount
volatility --profile=SomeLinux -f file.dmp linux_recover_filesystem #Dump the entire filesystem (if possible)

Análise de despejo de memória

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.filescan.FileScan #Scan for files inside the dump
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --physaddr <0xAAAAA> #Offset from previous command

{% endtab %}

{% tab title="vol2" %}

volatility --profile=Win7SP1x86_23418 filescan -f file.dmp #Scan for files inside the dump
volatility --profile=Win7SP1x86_23418 dumpfiles -n --dump-dir=/tmp -f file.dmp #Dump all files
volatility --profile=Win7SP1x86_23418 dumpfiles -n --dump-dir=/tmp -Q 0x000000007dcaa620 -f file.dmp

volatility --profile=SomeLinux -f file.dmp linux_enumerate_files
volatility --profile=SomeLinux -f file.dmp linux_find_file -F /path/to/file
volatility --profile=SomeLinux -f file.dmp linux_find_file -i 0xINODENUMBER -O /path/to/dump/file

Tabela Mestre de Arquivos

{% tabs %} {% tab title="vol3" %}

# I couldn't find any plugin to extract this information in volatility3

{% endtab %}

{% tab title="vol2" %}O seguinte é um resumo das principais funções do Volatility para análise de despejo de memória:

• imageinfo: Exibe informações gerais sobre o despejo de memória.
• kdbgscan: Localiza o valor do depurador do kernel (KDBG).
• kpcrscan: Localiza o endereço do Registro de Controle do Processador (KPCR).
• pslist: Lista os processos em execução.
• pstree: Exibe os processos em forma de árvore.
• dlllist: Lista as DLLs carregadas em cada processo.
• handles: Exibe os identificadores de objeto abertos por cada processo.
• filescan: Procura por arquivos no despejo de memória.
• cmdline: Exibe os argumentos da linha de comando de cada processo.
• netscan: Lista as conexões de rede.
• connections: Exibe os sockets de rede.
• sockets: Lista as informações dos sockets.
• svcscan: Enumera os serviços.
• modscan: Lista os módulos do kernel carregados.
• malfind: Procura por possíveis processos maliciosos.
• apihooks: Exibe os ganchos de API.
• ldrmodules: Lista os módulos carregados.
• devicetree: Exibe a árvore de dispositivos.
• printkey: Exibe as chaves do Registro do Windows.
• hivelist: Lista os hives do Registro do Windows.
• hashdump: Extrai senhas em hash.
• userassist: Exibe informações do UserAssist.
• shellbags: Lista as pastas acessadas recentemente.
• mbrparser: Analisa o Registro Mestre de Inicialização (MBR).
• mftparser: Analisa a Tabela de Arquivos Mestra (MFT).
• yarascan: Executa uma varredura YARA em processos ou memória.
• dumpfiles: Extrai arquivos do despejo de memória.
• dumpregistry: Extrai chaves do Registro do Windows.
• dumpcerts: Extrai certificados.
• apihooks: Exibe os ganchos de API.
• ldrmodules: Lista os módulos carregados.
• devicetree: Exibe a árvore de dispositivos.
• printkey: Exibe as chaves do Registro do Windows.
• hivelist: Lista os hives do Registro do Windows.
• hashdump: Extrai senhas em hash.
• userassist: Exibe informações do UserAssist.
• shellbags: Lista as pastas acessadas recentemente.
• mbrparser: Analisa o Registro Mestre de Inicialização (MBR).
• mftparser: Analisa a Tabela de Arquivos Mestra (MFT).
• yarascan: Executa uma varredura YARA em processos ou memória.
• dumpfiles: Extrai arquivos do despejo de memória.
• dumpregistry: Extrai chaves do Registro do Windows.
• dumpcerts: Extrai certificados.

volatility --profile=Win7SP1x86_23418 mftparser -f file.dmp

{% endtab %} {% endtabs %}

O sistema de arquivos NTFS contém um arquivo chamado tabela de arquivos mestre, ou MFT. Existe pelo menos uma entrada na MFT para cada arquivo em um volume do sistema de arquivos NTFS, incluindo a própria MFT. Todas as informações sobre um arquivo, incluindo seu tamanho, carimbos de data e hora, permissões e conteúdo de dados, são armazenadas em entradas da MFT ou em espaço fora da MFT que é descrito por entradas da MFT. De aqui.

#vol3 allows to search for certificates inside the registry
./vol.py -f file.dmp windows.registry.certificates.Certificates

{% endtab %}

{% tab title="vol2" %}## Folha de dicas do Volatility

Comandos básicos

• imageinfo: exibe informações sobre a imagem de memória
• pslist: lista os processos em execução
• pstree: exibe os processos em formato de árvore
• psscan: examina os processos a partir dos pools de processo
• dlllist: lista as DLLs carregadas em cada processo
• cmdline: exibe os argumentos da linha de comando de um processo
• filescan: examina os handles de arquivo dos processos
• handles: exibe os handles de arquivo de um processo
• vadinfo: exibe informações sobre os espaços de endereço virtuais
• vadtree: exibe os VADs em formato de árvore
• malfind: procura por possíveis malwares na memória
• yarascan: executa uma varredura YARA na memória
• dump: faz o dump de um processo específico
• memdump: faz o dump da memória física
• linux_pslist: lista os processos em execução em sistemas Linux
• linux_pstree: exibe os processos em formato de árvore em sistemas Linux
• linux_check_afinfo: verifica as entradas AF_INET em sistemas Linux
• linux_check_creds: verifica as credenciais em sistemas Linux
• linux_check_fop: verifica as operações de arquivo em sistemas Linux
• linux_check_idt: verifica a IDT em sistemas Linux
• linux_check_modules: verifica os módulos do kernel em sistemas Linux
• linux_check_syscall: verifica as syscalls em sistemas Linux
• linux_check_syscalltbl: verifica a tabela de syscalls em sistemas Linux
• linux_check_tty: verifica os TTYs em sistemas Linux
• linux_lsmod: lista os módulos do kernel em sistemas Linux
• linux_volshell: inicia um shell interativo em sistemas Linux
• linux_bash: executa um comando bash em sistemas Linux
• linux_find_file: procura por um arquivo em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map: faz o dump de um espaço de endereço virtual em sistemas Linux
• linux_dump_map:

#vol2 allos you to search and dump certificates from memory
#Interesting options for this modules are: --pid, --name, --ssl
volatility --profile=Win7SP1x86_23418 dumpcerts --dump-dir=. -f file.dmp

Malware

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.malfind.Malfind [--dump] #Find hidden and injected code, [dump each suspicious section]
#Malfind will search for suspicious structures related to malware
./vol.py -f file.dmp windows.driverirp.DriverIrp #Driver IRP hook detection
./vol.py -f file.dmp windows.ssdt.SSDT #Check system call address from unexpected addresses

./vol.py -f file.dmp linux.check_afinfo.Check_afinfo #Verifies the operation function pointers of network protocols
./vol.py -f file.dmp linux.check_creds.Check_creds #Checks if any processes are sharing credential structures
./vol.py -f file.dmp linux.check_idt.Check_idt #Checks if the IDT has been altered
./vol.py -f file.dmp linux.check_syscall.Check_syscall #Check system call table for hooks
./vol.py -f file.dmp linux.check_modules.Check_modules #Compares module list to sysfs info, if available
./vol.py -f file.dmp linux.tty_check.tty_check #Checks tty devices for hooks

{% endtab %}

{% tab title="vol2" %}O seguinte é um resumo das principais funções do Volatility para análise de despejo de memória:

• imageinfo: Exibe informações gerais sobre o despejo de memória.
• kdbgscan: Localiza o valor do depurador do kernel (KDBG).
• pslist: Lista os processos em execução.
• pstree: Exibe os processos em forma de árvore.
• dlllist: Lista os módulos DLL carregados em cada processo.
• handles: Exibe os identificadores de objeto abertos por cada processo.
• filescan: Procura por arquivos abertos na memória.
• cmdline: Exibe os argumentos da linha de comando de cada processo.
• consoles: Lista os consoles de cada processo.
• malfind: Identifica possíveis malwares na memória.
• apihooks: Detecta possíveis ganchos de API.
• ldrmodules: Lista os módulos carregados em cada processo.
• svcscan: Lista os serviços do Windows.
• connections: Exibe informações de conexão de rede.
• sockets: Lista os sockets de rede.
• devicetree: Exibe a árvore de dispositivos.
• modscan: Procura por módulos do kernel.
• ssdt: Exibe a Tabela de Despacho de Serviço do Sistema (SSDT).
• callbacks: Lista os callbacks do kernel.
• gdt: Exibe a Tabela de Descritores Globais (GDT).
• idt: Exibe a Tabela de Descritores de Interrupção (IDT).
• driverscan: Lista os drivers carregados.
• printkey: Exibe as chaves do Registro de impressão.
• privs: Lista os privilégios do processo.
• yarascan: Procura por padrões YARA na memória.
• dumpfiles: Extrai arquivos da memória.
• dumpregistry: Extrai o Registro do Windows da memória.
• mbrparser: Analisa o Registro Mestre de Inicialização (MBR).
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os átomos do Windows.
• atomscan: Lista os á

volatility --profile=Win7SP1x86_23418 -f file.dmp malfind [-D /tmp] #Find hidden and injected code [dump each suspicious section]
volatility --profile=Win7SP1x86_23418 -f file.dmp apihooks #Detect API hooks in process and kernel memory
volatility --profile=Win7SP1x86_23418 -f file.dmp driverirp #Driver IRP hook detection
volatility --profile=Win7SP1x86_23418 -f file.dmp ssdt #Check system call address from unexpected addresses

volatility --profile=SomeLinux -f file.dmp linux_check_afinfo
volatility --profile=SomeLinux -f file.dmp linux_check_creds
volatility --profile=SomeLinux -f file.dmp linux_check_fop
volatility --profile=SomeLinux -f file.dmp linux_check_idt
volatility --profile=SomeLinux -f file.dmp linux_check_syscall
volatility --profile=SomeLinux -f file.dmp linux_check_modules
volatility --profile=SomeLinux -f file.dmp linux_check_tty
volatility --profile=SomeLinux -f file.dmp linux_keyboard_notifiers #Keyloggers

Escaneando com yara

Use este script para baixar e mesclar todas as regras de malware yara do github: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9
Crie o diretório rules e execute-o. Isso criará um arquivo chamado malware_rules.yar que contém todas as regras yara para malware.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
#Only Windows
./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-file /tmp/malware_rules.yar
#All
./vol.py -f file.dmp yarascan.YaraScan --yara-file /tmp/malware_rules.yar

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos comuns do Volatility que podem ser úteis durante a análise de um dump de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• psscan: escaneia os processos.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os handles abertos por cada processo.
• cmdline: exibe a linha de comando de cada processo.
• filescan: escaneia os arquivos mapeados na memória.
• netscan: lista as conexões de rede.
• connections: exibe as conexões de rede por processo.
• sockets: lista os sockets de rede.
• svcscan: lista os serviços.
• modscan: escaneia os módulos do kernel.
• malfind: encontra possíveis malwares na memória.
• yarascan: escaneia a memória em busca de padrões usando YARA.
• dump: faz o dump de um processo específico.
• memdump: faz o dump de uma região específica da memória.
• linux_bash: exibe os comandos bash executados em sistemas Linux.
• linux_netstat: exibe as conexões de rede em sistemas Linux.
• linux_lsmod: lista os módulos do kernel em sistemas Linux.

Esses comandos podem ajudar na análise forense de um dump de memória para identificar atividades suspeitas ou investigar incidentes de segurança.{% endtab %}

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
volatility --profile=Win7SP1x86_23418 yarascan -y malware_rules.yar -f ch2.dmp | grep "Rule:" | grep -v "Str_Win32" | sort | uniq

MISC

Plugins externos

Se deseja usar plugins externos, certifique-se de que as pastas relacionadas aos plugins sejam o primeiro parâmetro utilizado.

./vol.py --plugin-dirs "/tmp/plugins/" [...]

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• psscan: verifica os processos ocultos.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objeto aberto para cada processo.
• cmdline: exibe os argumentos da linha de comando de cada processo.
• consoles: lista os consoles associados a cada processo.
• filescan: verifica os arquivos mapeados na memória.
• svcscan: lista os serviços do Windows.
• connections: exibe as conexões de rede.
• malfind: procura por possíveis malwares na memória.
• apihooks: identifica possíveis ganchos de API.
• ldrmodules: lista os módulos carregados em cada processo.
• modscan: verifica os módulos do kernel.
• ssdt: exibe a Tabela de Despacho de Serviço do Sistema.
• callbacks: lista os callbacks do kernel.
• driverirp: exibe as IRPs manipuladas por drivers.
• devicetree: exibe a árvore de dispositivos.
• printkey: exibe as chaves do Registro de sistema.
• privs: lista os privilégios de cada processo.
• getsids: exibe os SIDs de segurança de cada processo.
• dumpfiles: extrai arquivos da memória.
• yarascan: executa uma varredura YARA na memória.
• memmap: exibe o mapeamento de memória do processo.
• vadinfo: exibe informações sobre regiões de memória virtuais.
• vaddump: extrai uma região de memória virtual.
• vadtree: exibe as regiões de memória virtuais em formato de árvore.
• vadwalk: exibe as páginas de memória em uma região de memória virtual.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• atomscan: verifica os objetos de atom na memória.
• **atomscan

volatilitye --plugins="/tmp/plugins/" [...]

{% endtab %} {% endtabs %}

Autoruns

Baixe em https://github.com/tomchop/volatility-autoruns

volatility --plugins=volatility-autoruns/ --profile=WinXPSP2x86 -f file.dmp autoruns

Mutexes

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.mutantscan.MutantScan

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: exibe informações gerais sobre a imagem de memória.
• pslist: lista os processos em execução.
• pstree: exibe os processos em formato de árvore.
• psscan: verifica os processos ocultos.
• dlllist: lista as DLLs carregadas em cada processo.
• handles: exibe os identificadores de objeto aberto para cada processo.
• cmdline: exibe os argumentos da linha de comando de cada processo.
• consoles: lista os consoles associados a cada processo.
• filescan: verifica os arquivos mapeados na memória.
• svcscan: lista os serviços do Windows.
• connections: exibe as conexões de rede.
• malfind: procura por possíveis malwares na memória.
• apihooks: identifica possíveis ganchos de API.
• ldrmodules: lista os módulos carregados em cada processo.
• modscan: verifica os módulos do kernel.
• ssdt: exibe a Tabela de Despacho de Serviço do Sistema.
• callbacks: lista os callbacks do kernel.
• driverirp: exibe as IRPs (Pacotes de Solicitação de E/S) manipuladas por drivers.
• devicetree: exibe a árvore de dispositivos.
• printkey: exibe as chaves do Registro de impressão.
• privs: lista os privilégios de cada processo.
• getsids: exibe os SIDs (Identificadores de Segurança) associados a cada processo.
• hivelist: lista os hives do Registro.
• hashdump: extrai hashes de senha do SAM e do sistema.
• userassist: exibe programas frequentemente usados.
• shellbags: lista pastas acessadas recentemente.
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a Tabela de Arquivos Mestres (MFT).
• mftparser: analisa a T

volatility --profile=Win7SP1x86_23418 mutantscan -f file.dmp
volatility --profile=Win7SP1x86_23418 -f file.dmp handles -p <PID> -t mutant

Links Simbólicos

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.symlinkscan.SymlinkScan

{% endtab %}

{% tab title="vol2" %}O Volatility é uma ferramenta poderosa para análise de dumps de memória. Abaixo estão alguns comandos úteis para análise de dumps de memória com o Volatility:

• Identificar o perfil do sistema operacional:

  volatility -f memdump.mem imageinfo
  

• Listar todos os processos em execução:

  volatility -f memdump.mem --profile=PerfilDoSistema pslist
  

• Analisar os sockets de rede abertos:

  volatility -f memdump.mem --profile=PerfilDoSistema sockscan
  

• Analisar os drivers carregados:

  volatility -f memdump.mem --profile=PerfilDoSistema ldrmodules
  

• Analisar os registros de eventos:

  volatility -f memdump.mem --profile=PerfilDoSistema evtlogs
  

• Analisar os arquivos abertos por processos:

  volatility -f memdump.mem --profile=PerfilDoSistema filescan
  

• Analisar os registros do registro do Windows:

  volatility -f memdump.mem --profile=PerfilDoSistema printkey
  

• Extrair um arquivo específico da memória:

  volatility -f memdump.mem --profile=PerfilDoSistema dumpfiles -Q EndereçoDoArquivo -D DiretórioDestino
  

Certifique-se de substituir "memdump.mem" pelo nome do arquivo de dump de memória e "PerfilDoSistema" pelo perfil do sistema operacional alvo.

volatility --profile=Win7SP1x86_23418 -f file.dmp symlinkscan

Bash

É possível ler do histórico do bash na memória. Você também pode fazer dump do arquivo .bash_history, mas se estiver desativado, você ficará feliz em saber que pode usar este módulo de volatilidade.

./vol.py -f file.dmp linux.bash.Bash

{% endtab %}

{% tab title="vol2" %}O seguinte é um resumo das principais funções do Volatility para análise de despejo de memória:

• volatility imageinfo -f : exibe informações gerais sobre o arquivo de despejo de memória.
• volatility kdbgscan -f : procura por valores KDBG válidos no despejo de memória.
• volatility kpcrscan -f : procura por valores KPCR válidos no despejo de memória.
• volatility pslist -f : lista os processos em execução no despejo de memória.
• volatility psscan -f : verifica processos que foram finalizados ou estão ocultos.
• volatility pstree -f : exibe a árvore de processos do sistema.
• volatility dlllist -f -p : lista as DLLs carregadas por um processo específico.
• volatility cmdscan -f : procura por comandos executados no despejo de memória.
• volatility consoles -f : exibe informações sobre consoles interativos.
• volatility filescan -f : procura por arquivos abertos no despejo de memória.
• volatility netscan -f : exibe informações sobre sockets de rede.
• volatility connections -f : lista as conexões de rede ativas.
• volatility malfind -f : procura por possíveis injeções de código malicioso.
• volatility yarascan -f : executa uma varredura YARA em busca de padrões específicos.
• volatility dumpfiles -f -Q : extrai arquivos do despejo de memória.

Essas funções são úteis para analisar despejos de memória em investigações forenses digitais. {% endtab %}

volatility --profile=Win7SP1x86_23418 -f file.dmp linux_bash

Linha do Tempo

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp timeLiner.TimeLiner

{% endtab %}

{% tab title="vol2" %}A seguir estão alguns comandos úteis do Volatility para análise de despejo de memória:

• imageinfo: Exibe informações gerais sobre a imagem de memória.
• pslist: Lista os processos em execução.
• pstree: Exibe os processos em forma de árvore.
• psscan: Escaneia processos ocultos.
• dlllist: Lista as DLLs carregadas em cada processo.
• handles: Exibe os identificadores de objeto abertos por cada processo.
• cmdline: Exibe os argumentos da linha de comando de cada processo.
• consoles: Lista os consoles associados a cada processo.
• vadinfo: Exibe informações sobre regiões de memória alocadas.
• vadtree: Exibe as regiões de memória alocadas em forma de árvore.
• malfind: Encontra possíveis injeções de malware na memória.
• apihooks: Detecta possíveis ganchos de API.
• ldrmodules: Lista os módulos carregados em cada processo.
• modscan: Escaneia módulos do kernel em busca de rootkits.
• ssdt: Exibe a Tabela de Despacho de Serviços do Sistema.
• callbacks: Lista os callbacks do kernel.
• devicetree: Exibe a árvore de dispositivos.
• driverirp: Exibe as IRPs (Pacotes de Requisição de E/S) manipuladas por drivers.
• printkey: Exibe informações sobre uma determinada chave do Registro.
• privs: Lista os privilégios de cada processo.
• getsids: Exibe os SIDs (Identificadores de Segurança) associados a cada processo.
• dumpfiles: Extrai arquivos do espaço de endereço de um processo.
• memdump: Cria um despejo de memória de um processo específico.
• memmap: Exibe o mapeamento de memória física e virtual.
• mftparser: Analisa a Tabela de Arquivos Mestra (MFT) do NTFS.
• yarascan: Escaneia a memória em busca de padrões com o Yara.
• malsysproc: Encontra processos suspeitos na memória.
• malthfind: Encontra manipulações suspeitas de funções de hash.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: Encontra possíveis injeções de malware na memória.
• malfind: En

volatility --profile=Win7SP1x86_23418 -f timeliner

Drivers

{% tabs %} {% tab title="vol3" %}

./vol.py -f file.dmp windows.driverscan.DriverScan

{% endtab %}

{% tab title="vol2" %}## Folha de dicas do Volatility

Comandos básicos

• imageinfo: exibe informações sobre a imagem de memória
• pslist: lista os processos em execução
• pstree: exibe os processos em formato de árvore
• psscan: escaneia todos os processos
• dlllist: lista as DLLs carregadas por cada processo
• cmdline: exibe os argumentos da linha de comando de um processo
• filescan: escaneia os handles de arquivo
• handles: lista os handles de arquivo de um processo
• getsids: exibe os SIDs dos processos
• svcscan: lista os serviços
• connections: exibe as conexões de rede
• sockets: lista os sockets de rede
• connscan: escaneia as conexões de rede
• malfind: encontra possíveis injeções de código malicioso
• ldrmodules: lista os módulos carregados
• modscan: escaneia os módulos carregados
• apihooks: exibe os ganchos de API
• callbacks: lista os callbacks
• driverirp: exibe as IRPs dos drivers
• devicetree: exibe a árvore de dispositivos
• printkey: exibe as chaves do registro
• privs: lista os privilégios
• getsids: exibe os SIDs dos processos
• hivelist: lista os hives do registro
• hivedump: faz o dump de um hive do registro
• hashdump: faz o dump das hashes de senha
• userassist: exibe informações do UserAssist
• shellbags: exibe informações do ShellBags
• mbrparser: analisa o registro de inicialização principal
• yarascan: escaneia a memória em busca de padrões com o Yara

Plugins adicionais

• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra possíveis injeções de código malicioso
• malfind: encontra

volatility --profile=Win7SP1x86_23418 -f file.dmp driverscan

Obter área de transferência

#Just vol2
volatility --profile=Win7SP1x86_23418 clipboard -f file.dmp

Obter histórico do IE

#Just vol2
volatility --profile=Win7SP1x86_23418 iehistory -f file.dmp

Obter texto do bloco de notas

#Just vol2
volatility --profile=Win7SP1x86_23418 notepad -f file.dmp

Captura de tela

#Just vol2
volatility --profile=Win7SP1x86_23418 screenshot -f file.dmp

Registro Mestre de Inicialização (MBR)

volatility --profile=Win7SP1x86_23418 mbrparser -f file.dmp

O MBR contém informações sobre como as partições lógicas, contendo sistemas de arquivos, estão organizadas nesse meio. O MBR também contém código executável para funcionar como um carregador para o sistema operacional instalado - geralmente passando o controle para a segunda etapa do carregador, ou em conjunto com o registro de inicialização de volume (VBR) de cada partição. Esse código MBR é geralmente referido como um carregador de inicialização. De aqui.

​

RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.

{% embed url="https://www.rootedcon.com/" %}

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

• Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
• Adquira o swag oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe seus truques de hacking enviando PRs para os repositórios HackTricks e HackTricks Cloud.