Forensics

Volatility

Memory forensics framework

ΠžΡΠ½ΠΎΠ²Π½Ρ‹Π΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ (Π² порядкС ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ выполнСния ΠΈΡ…)

  • imageinfo - ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ

  • pstree - Π΄Π΅Ρ€Π΅Π²ΠΎ процСссов

  • cmdline - Π°Ρ€Π³ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ процСссов

  • procdump - ΡΠ΄Π°ΠΌΠΏΠΈΡ‚ΡŒ Π΅Ρ…Π΅ΡˆΠ½ΠΈΠΊ

  • netscan - соСдинСния

  • filescan - Π»ΠΈΡΡ‚ΠΈΡ‚ΡŒ Ρ„Π°ΠΉΠ»Ρ‹

  • dumpfiles - Π΄ΠΎΡΡ‚Π°Π²Π°Ρ‚ΡŒ Ρ„Π°ΠΉΠ»Ρ‹

  • bioskbd - ΠΊΠ»Π°Π²ΠΈΠ°Ρ‚ΡƒΡ€Π°

  • clipboard - Π±ΡƒΡ„Π΅Ρ€

  • consoles - история ΠΊΠΎΠΌΠ°Π½Π΄ Π² консоли

  • hashdump - Ρ…Π΅ΡˆΠΈ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ

  • iehistory - история IE

  • screenshot - ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚

  • truecryptmaster

  • truecryptpassphrase

  • truecryptsummary

  • printkey - ΠΊΠ»ΡŽΡ‡ΠΈ рССстра

Volatility Example Usage
volatility -f MyPC-a44c4946.vmem imageinfo
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 pstree
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 procdump --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 cmdline
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 filescan
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 filescan | grep resume-vm-default.bat
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001df3f1b8 --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 netscan
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 bioskbd
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 clipboard
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 consoles
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 screenshot --dump-dir .
volatility -f MyPC-a44c4946.vmem --profile=Win7SP1x86_23418 truecryptsummary

PreviousMimikatzNextProcess Hacker

Last updated