Volatility
- Para analizar memory dump files
- Enumerar todos los procesos que se estaban ejecutando.
- Listar las conexiones de red activas y cerradas.
- Ver el historial de Internet (IE).
- Identificar archivos en el sistema y recuperarlos del volcado de memoria.
- Leer el contenido de los documentos del bloc de notas.
- Recuperar los comandos introducidos en el símbolo del sistema de Windows (CMD).
- Escanear la presencia de malware utilizando las reglas de YARA.
- Recuperar capturas de pantalla y contenidos del portapapeles.
- Recuperar contraseñas con hash.
- Recuperar claves y certificados SSL.
# Analizamos la información del dump
volatility -f memdump.mem imageinfo
# Ver los procesos
volatility -f memdump.mem imageinfo --profile=$PROFILE pslist
# Ver los el árbol de procesos
volatility -f memdump.mem imageinfo --profile=$PROFILE pstree
# Ver procesos activos y ocultos normalmente usados por malware: \
# ¡¡ COMPARAR CON pslist PARA VER SI HAY DIFERENCIAS !!
volatility -f memdump.mem imageinfo --profile=$PROFILE psscan
# Mostrar procesos esperados y ocultos. Es una combinación de pslist y psscan
volatility -f memdump.mem imageinfo --profile=$PROFILE psxview
# Identificar conexiones activas o cerradas
volatility -f memdump.mem imageinfo --profile=$PROFILE netscan
# Crear un timeline de eventos de la imagen
volatility -f memdump.mem imageinfo --profile=$PROFILE timeliner
# Mostrar el historial de internet
volatility -f memdump.mem imageinfo --profile=$PROFILE iehistory
# Identificar archivos en el sistema desde la memoria
volatility -f memdump.mem imageinfo --profile=$PROFILE filescan
# Extrae archivos desde la memoria en el directorio act
volatility -f memdump.mem imageinfo --profile=$PROFILE dumpfiles -n --dump-dir=./
# Extraer comandos
volatility -f memdump.mem imageinfo --profile=$PROFILE cmdline
Última actualización 1yr ago