volatility
Присоединяйтесь к нашему Telegram-каналу, чтобы первыми узнавать о новостях, трендах и уникальных материалах по кибербезопасности!
Проверка профиля системы:
volatility -f дамп_памяти imageinfo
Список доступных процессов:
volatility -f дамп_памяти pslist
Список процессов с информацией о родителях:
volatility -f дамп_памяти pstree
Список процессов с использованием эвристики:
volatility -f дамп_памяти psscan
Поиск скрытых или завершённых процессов:
volatility -f дамп_памяти psxview
Поиск файлов, открытых процессами:
volatility -f дамп_памяти filescan
Извлечение файла из памяти:
volatility -f дамп_памяти dumpfiles -Q адрес
Просмотр открытых сетевых соединений:
volatility -f дамп_памяти netscan
Список загруженных модулей ядра:
volatility -f дамп_памяти modules
Извлечение модуля ядра:
volatility -f дамп_памяти moddump -b базовый_адрес -D путь
Поиск скрытых модулей ядра:
volatility -f дамп_памяти modscan
Извлечение процессов из памяти:
volatility -f дамп_памяти procdump -p PID -D путь
Список сессий пользователей:
volatility -f дамп_памяти sessions
Просмотр информации о реестре:
volatility -f дамп_памяти hivelist
Извлечение содержимого реестра:
volatility -f дамп_памяти hivedump -o адрес_реестра
Поиск командной строки процессов:
volatility -f дамп_памяти cmdline
Просмотр истории команд:
volatility -f дамп_памяти consoles
Поиск артефактов браузера:
volatility -f дамп_памяти browsers
Поиск и извлечение DLL файлов:
volatility -f дамп_памяти dlllist
volatility -f дамп_памяти dlldump -p PID -D путь
Поиск и анализ векторов атак (пинги, соединения и т.д.):
volatility -f дамп_памяти apihooks
Поиск подозрительных областей памяти:
volatility -f дамп_памяти malfind
Извлечение подозрительных областей памяти:
volatility -f дамп_памяти malfind --dump-dir путь