Logiciel Volatility


https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#handles
Volatility
imageinfoinformation de l'imagevolatility -f Challenge2.mem imageinfo
pslistpermet d'obtenir la liste des processus atifsvolatility -f Challenge2.mem --profile=WinXPSP2x86 pslist
pstreeepermet d'obtenir la liste des processus en fonction de leurs dépendancevolatility -f Challenge2.mem --profile=WinXPSP2x86 pstree
connscanaffiche les connexions en coursvolatility -f Challenge2.mem --profile=WinXPSP2x86 connscan
socketsaffiche les socckets ouvertsvolatility -f Challenge2.mem --profile=WinXPSP2x86 sockets
printkeyaffiche les information sur la base de registrevolatility -f Challenge2.mem --profile=WinXPSP2x86 printkey -K "Microsoft\windows NT\CurrentVersion\Winlogon"
malfindrecherche les exécutables malveillants (généralement des DLL) et le shellcode à l'intérieur de chaque processusvolatility -f Challenge2.mem --profile=WinXPSP2x86 malfind -p 856 --dump-dir <folder/>>
handlespermet d'afficher les pointeurs ouverts dans un processusvolatility -f Challenge2.mem --profile=WinXPSP2x86 handles -p 632,676,856 -t File,Mutant
modscanLa commande modscan trouve les structures LDR_DATA_TABLE_ENTRY (LDR_DATA_TABLE_ENTRY est l'enregistrement NTDLL de la façon dont une DLL est chargée dans un processus.)en analysant la mémoire physique pour les balises de pool. Cela peut récupérer les pilotes précédemment déchargés et les pilotes qui ont été masqués / dissociés par les rootkits volatility -f Challenge3.mem --profile=WinXPSP2x86 modscan
moddumppermet d'extraire le noyaux d'un driver dans un fichiervolatility -f Challenge3.mem --profile=WinXPSP2x86 moddump --base 0xb21d8000 --dump-dir <folder/>>
timelinercrée une chronologie à partir de divers artefacts en mémoire à partir de sources volatility -f Win2k12x64-Snapshot3.vmsn --profile=Win2012R2x64 --kdbg=0xf800f17dd9b0 timeliner --type=_CMHIVE
mftparserrecherche les entrées potentielles de Master File Table (MFT) en mémoire (en utilisant les signatures "FILE" et "BAAD") et imprime les informations pour certains attributs volatility -f Bob.vmem mftparser






Récupéré la base Sam et décryptages password
Volatility -f <fichier> --profile=Win7SP1x86 hivelist Pour localiser les adresses virtuelles des ruches de Registre en mémoire et les chemins complets de la ruche correspondante sur le disque
0x76ad61ab 0x131af148 \SystemRoot\System32\Config\SAM
[...]
0xa821c0ca 0x039ef008 \REGISTRY\MACHINE\SYSTEM
affiche les registres
Volatility -f ch2.dmp --profile=Win7SP1x86 hashdump -y 0xa821c0ca -s 0x76ad61ab > mp.txton fait un dump de la base SAM
cat mp.txton affiche les mot de passes hashés
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
John Doe:1000:aad3b435b51404eeaad3b435b51404ee:b9f917853e3dbf6e6831ecce60725930:::
les mots de passes hashés
crackstationon décrypte le hash sur par exemple crackstation