Bài tập lớn môn an toàn mang, học viện bưu chính viễn thông (32)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (571.32 KB, 48 trang )
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN 1
Học phần : An Tồn Mạng
Chủ đề: Volatility – Memory Forensic Tool
Giảng viên
:
TS. Đặng Minh Tuấn
Sinh viên
:
Trần Văn Hải
Mã sinh viên
:
B18DCAT073
Lớp
:
D18CQAT01-B
Nhóm mơn học :
02
Số điện thoại
0947017224
:
Lời mở đầu
Volatility là một forensic framework sử dụng nhiều cơng cụ để phân tích hình ảnh bộ
nhớ. Cơng cụ này được phát triển bằng Python, hỗ trợ các nhà điều tra tìm hiểu thêm
về bộ nhớ tạm (RAM) trên hệ thống bằng cách trích xuất các tiến trình đang chạy, cấu
hình máy tính, kết nối mạng đang mở, phần mềm độc hại có thể có, v.v.
RAM có thể lưu giữ dấu vết của mã độc, dữ liệu có thể đã bị lấy từ hệ thống, tên
người dùng và mật khẩu, nội dung của cửa sổ đang mở, registry và các phần dữ liệu
khác có thể được sử dụng trong cuộc điều tra. Vì RAM là bộ nhớ tạm thời nên dữ liệu
sẽ biến mất ngay khi hệ thống bị tắt nguồn. Để lưu nội dung của RAM, một số cơng
cụ nhất định có thể được sử dụng để thu thập bộ nhớ và từ đó, tính năng của Volatility
có thể được sử dụng để phân tích những gì thu được, cung cấp cho điều tra viên tất cả
các loại bằng chứng. Các tiến trình đang chạy, mật khẩu, kết nối mạng và nhiều danh
sách sẽ được hiển thị để giúp người kiểm tra phân tích những gì có thể đã xảy ra
trong một hệ thống. Bằng chứng được cung cấp bởi Volatility có thể tạo ra tất cả sự
khác biệt và nếu sử dụng hết khả năng của nó, có thể cung cấp đầy đủ thơng tin về
cách hệ thống bị xâm phạm như nào trong thời gian mà bộ nhớ được trích xuất.
Mục lục
Mục lục.........................................................................................3
I. Giới thiệu..................................................................................6
1.
Tổng quan................................................................................6
2.
Lịch sử hình thành......................................................................7
3.
Thuật ngữ.................................................................................8
II. Hướng dẫn cài đặt......................................................................8
1.
Tải xuống Volatility....................................................................8
2.
Cài đặt Volatility........................................................................8
2.1.
3.
Các thư viện phụ thuộc...........................................................9
Cập nhật Volatility....................................................................11
III. Các lệnh cơ bản........................................................................12
1.
Các tùy chọn chung..................................................................13
1.1.
Hiển thị Trợ giúp.................................................................13
1.2.
Chọn Cấu hình...................................................................14
1.3.
Các tùy chọn khác...............................................................16
1.4.
Bật thơng báo gỡ lỗi.............................................................18
1.5.
Sử dụng bộ nhớ đệm............................................................18
1.6.
Đặt múi giờ.......................................................................18
1.7.
Đặt DTB...........................................................................20
1.8.
Đặt địa chỉ KDBG...............................................................20
1.9.
Đặt địa chỉ KPCR................................................................21
1.10.
Bật hỗ trợ ghi...................................................................21
1.11.
Chỉ định Thư mục Plugin Bổ sung........................................22
1.12.
Chọn định dạng Đầu ra.......................................................22
2.
Các tùy chọn cụ thể của plugin....................................................23
3.
Sử dụng Volatility làm Thư viện...................................................23
IV. Các plugin thường được sử dụng.................................................24
1.
Vùng nhớ...............................................................................24
1.1.
Imageinfo..........................................................................24
2.
3.
4.
5.
6.
1.2.
Crashinfo..........................................................................24
1.3.
Hibinfo.............................................................................25
1.4.
Imagecopy.........................................................................25
Các tiến trình và DLLs..............................................................26
2.1.
Pslist................................................................................26
2.2.
Pstree...............................................................................26
2.3.
Psscan..............................................................................27
2.4.
Dllist................................................................................27
2.5.
Dlldump...........................................................................28
2.6.
Handles............................................................................28
2.7.
Cmdscan...........................................................................29
Các đối tượng bộ nhớ và kernel...................................................30
3.1.
Procmemdump...................................................................30
3.2.
Procexedump.....................................................................30
3.3.
Modscan...........................................................................30
3.4.
Driverscan.........................................................................31
3.5.
Filescan............................................................................31
Mạng....................................................................................32
4.1.
Connections.......................................................................32
4.2.
Connscan..........................................................................32
4.3.
Sockscan...........................................................................33
4.4.
Netscan............................................................................34
Registry.................................................................................34
5.1.
Hivescan and Hivelist...........................................................34
5.2.
Hivedump.........................................................................35
5.3.
Hashdump.........................................................................35
Phân tích mã độc......................................................................36
6.1.
Malfind............................................................................36
6.2.
Svcscan............................................................................36
6.3.
Apihooks..........................................................................37
6.4.
Callbacks..........................................................................37
6.5.
Devicetree.........................................................................38
6.6.
Psxview............................................................................39
V. Các plugin khác........................................................................39
1.
Iehistory................................................................................39
2.
Evtlogs..................................................................................40
3.
Deskscan................................................................................40
VI. Kịch bản.................................................................................40
1.
Kịch bản 1 : Memory Analysis - Ransomware.................................40
2.
Kịch bản 2 : Memory Analysis – Stuxnet sử dụng Process Injection......48
VII.
Tổng kết.............................................................................59
VIII.
Tài liệu tham khảo...............................................................60
I.
Giới thiệu
1. Tổng quan
Volatility là một công cụ mã nguồn mở dùng để phân tích bộ nhớ trong
thời gian chạy của máy tính để phục vụ cơng việc xử lý sự cố và phân
tích phần mềm độc hại. Volatility được viết bằng Python và hỗ trợ hỗ trợ
Microsoft Windows, Mac OS X và Linux (kể từ phiên bản 2.5).
Volatility được tạo ra bởi Aaron Walters, dựa trên nghiên cứu học thuật
mà ông đã thực hiện trong pháp y bộ nhớ.
Vào năm 2007, phiên bản đầu tiên của Volatility Framework đã được
phát hành công khai tại Black Hat DC. Phần mềm này dựa trên nhiều
năm nghiên cứu học thuật đã được cơng bố về các kỹ thuật phân tích và
pháp y bộ nhớ tiên tiến. Cho đến thời điểm đó, các cuộc điều tra kỹ thuật
số tập trung chủ yếu vào việc tìm kiếm các tệp tin khả nghi tồn tại trong
ổ cứng. Volatility đã giới thiệu cho mọi người sức mạnh của việc phân
tích trạng thái trong thời gian chạy của một hệ thống bằng cách sử dụng
dữ liệu được tìm thấy trong bộ nhớ tạm (RAM) của máy tính. Nó cũng
cung cấp một nền tảng đa nền tảng, mơ-đun và có thể mở rộng để
khuyến khích nghiên cứu sâu hơn vào lĩnh vực nghiên cứu thú vị này.
Một mục tiêu chính khác của dự án là khuyến khích sự hợp tác, đổi mới
và khả năng tiếp cận với kiến thức đã phổ biến trong cộng đồng phần
mềm tấn công.
Kể từ thời điểm đó, phân tích bộ nhớ đã trở thành một trong những chủ
đề quan trọng nhất đối với tương lai của điều tra kỹ thuật số và volatility
đã trở thành nền tảng pháp y bộ nhớ được sử dụng rộng rãi nhất trên thế
giới. Dự án được hỗ trợ bởi một trong những cộng đồng lớn nhất và tích
cực nhất trong ngành pháp y. Volatility cũng cung cấp một nền tảng độc
đáo cho phép chuyển ngay nghiên cứu tiên tiến vào tay các nhà điều tra
kỹ thuật số. Kết quả là, nghiên cứu được xây dựng dựa trên volatility đã
xuất hiện tại các hội nghị học thuật hàng đầu và volatility đã được sử
dụng trong một số cuộc điều tra quan trọng nhất trong thập kỷ qua. Nó
đã trở thành một công cụ điều tra kỹ thuật số không thể thiếu được các
nhà thực thi pháp luật, quân đội, học viện và các nhà điều tra thương mại
trên toàn thế giới tin cậy.
Sự phát triển của volatility hiện được hỗ trợ bởi “The Volatility
Foundation”, một tổ chức phi lợi nhuận độc lập. Quỹ được thành lập để
thúc đẩy việc sử dụng Volatility và phân tích bộ nhớ trong cộng đồng
pháp y, để bảo vệ tài sản trí tuệ của dự án (nhãn hiệu, giấy phép, v.v.) và
tuổi thọ, và cuối cùng, để giúp thúc đẩy nghiên cứu phân tích trí nhớ
sáng tạo. Cùng với đó, nền tảng này cũng được thành lập để giúp bảo vệ
quyền của các nhà phát triển, những người hy sinh thời gian và tài
nguyên của họ để làm cho nền tảng pháp y bộ nhớ tiên tiến nhất trên thế
giới trở nên miễn phí và có nguồn mở.
2. Lịch sử hình thành.
Gần đây, ngày càng có nhiều sự chú ý dành cho nghiên cứu và tiến bộ
trong lĩnh vực phân tích pháp y bộ nhớ tạm. Mặc dù sự chú ý ngày càng
tăng, nhưng ít nhà điều tra cảm thấy họ có thời gian, nguồn lực hoặc
chun mơn để đưa phân tích bộ nhớ tạm vào q trình điều tra kỹ thuật
số của họ. Một số nhà điều tra, nhiều người trong số họ đang phải đối
mặt với các vụ án tồn đọng, coi bộ nhớ hệ thống dễ bay hơi là một
“chất” khác cần được phân tích. Do đó, bộ nhớ tạm thường khơng được
thu thập trong quá trình xử lý sự cố và trong những trường hợp khi nó đã
được thu thập, phân tích thường tập trung vào việc tìm kiếm các chuỗi
khơng có ngữ cảnh. Mục đích của cơng việc này là nhấn mạnh thơng
điệp rằng pháp y về bộ nhớ tạm không nên được coi là “nhiệm vụ bổ
sung” cho người điều tra kỹ thuật số quá tải, mà là một phần không thể
thiếu của q trình điều tra kỹ thuật số. Chúng tơi cũng sẽ chứng minh
cách loại phân tích này có thể là một quá trình chuyển đổi dễ dàng cho
những người đã tận dụng bối cảnh được cung cấp từ các kỹ thuật xử lý
hệ thống trực tiếp.
Có một số nguyên tắc pháp y quan trọng cần xem xét khi trích xuất dữ
liệu từ một hệ thống trực tiếp. Những xem xét này tập trung vào việc cố
gắng giảm thiểu những thay đổi trên hệ thống, hiểu được tác động của
những thay đổi và giảm thiểu sự tin cậy được đặt vào hệ thống. Thật
khơng may, đã có rất ít cơng việc được thực hiện để đánh giá xem các
phương pháp thu thập dữ liệu trực tiếp hiện tại có tuân thủ các nguyên
tắc này tốt như thế nào. Vì vậy, bộ công cụ này được thiết kế để giúp các
nhà điều tra kỹ thuật số và các nhóm xử lý sự cố nhanh chóng xác định
bối cảnh hệ thống thời gian chạy và các đầu mối điều tra có thể hữu ích
trong các giai đoạn phân tích sau này.
Cuối cùng, kỹ thuật pháp y bộ nhớ tạm bằng công vụ Volatility sẽ được
chứng minh và đưa vào quá trình điều tra kỹ thuật số có thể giúp giải
quyết một số thách thức hàng đầu mà pháp y kỹ thuật số phải đối mặt.
Các công cụ và kỹ thuật phân tích bộ nhớ có thể được sử dụng để bổ
sung cho các công cụ và thực hành hiện đang được sử dụng trong các
cuộc điều tra kỹ thuật số. Ví dụ: các nhà điều tra có thể tận dụng bối
cảnh được tìm thấy trong bộ nhớ tạm để tập trung điều tra với khối
lượng lớn bằng chứng và phân tích thơng tin trên bộ nhớ tạm trước khi
nó tiêu tan.
3. Thuật ngữ
Dưới đây là một số từ khóa quan trọng:
- Volatile: Dữ liệu khơng cố định; nó sẽ bị mất khi nguồn điện bị ngắt
khỏi hệ thống.
- Plugin: Phần mềm làm cho một phần mềm lớn hơn có khả năng hoạt
động tốt hơn.
- Framework: Một cấu trúc hoặc bộ công cụ pháp y hỗ trợ điều tra.
- Forensic: pháp y, điều tra về những hành vi mã độc thực hiện trên hệ
thống.
II.
Hướng dẫn cài đặt
1. Tải xuống Volatility
Bạn có thể lấy mã nguồn bằng cách tải xuống bản phát hành ổn định
hoặc sao chép từ github. Để thực hiện thao tác sau, hãy nhập:
Thao tác này sẽ tạo một thư mục Volatility có chứa mã nguồn và bạn có
thể chạy thư mục Volatility từ đó.
2. Cài đặt Volatility
Nếu bạn đang sử dụng tệp thực thi Windows, Linux hoặc Mac độc lập,
khơng cần cài đặt - chỉ cần chạy nó từ dấu nhắc lệnh. Khơng cần cài
thêm các gói phụ thuộc, vì chúng đã được đóng gói bên trong exe.
Nếu bạn đang sử dụng tệp thực thi Pyinstaller (chỉ dành cho Windows),
hãy nhấp đúp và làm theo hướng dẫn cài đặt (về cơ bản bao gồm nhấp
$ git clone />
vào “Continues” một vài lần và sau đó “Finish”). Bạn phải có một
Python 2.7 đang hoạt động. Cũng xem bên dưới để biết các thư viện phụ
thuộc.
Nếu bạn đã tải xuống kho lưu trữ mã nguồn zip hoặc tar (Windows,
Linux, OSX), có hai cách để "cài đặt" mã:
Cách 1: Giải nén kho lưu trữ và chạy setup.py. Thao tác này sẽ thực hiện
việc sao chép các tệp vào đúng vị trí trên đĩa của bạn. Việc chạy setup.py
chỉ cần thiết nếu bạn muốn có quyền truy cập vào khơng gian tên
Volatility từ các tập lệnh Python khác, ví dụ: nếu bạn định nhập
Volatility làm thư viện. Ưu điểm: dễ dàng sử dụng như một thư viện.
Nhược điểm: khó nâng cấp hoặc gỡ cài đặt hơn.
Cách 2: Giải nén kho lưu trữ vào một thư mục mà bạn chọn. Khi bạn
muốn sử dụng Volatility, chỉ cần thực hiện python
/path/to/directory/vol.py. Đây là một phương pháp gọn gàng hơn vì
khơng có tệp nào được di chuyển ra ngoài thư mục bạn đã chọn, điều
này giúp bạn dễ dàng nâng cấp lên các phiên bản mới khi chúng được
phát hành. Ngồi ra, bạn có thể dễ dàng cài đặt đồng thời nhiều phiên
bản của Volatility bằng cách chỉ giữ chúng trong các thư mục riêng biệt
(như /home/me/vol2.0 và /home/me/vol2.1). Ưu điểm: sạch, dễ chạy
nhiều phiên bản, dễ nâng cấp hoặc gỡ cài đặt. Nhược điểm: khó sử dụng
hơn như một thư viện.
2.1.
Các thư viện phụ thuộc.
Phần này không áp dụng cho tệp thực thi Windows độc lập, vì các
thư viện phụ thuộc đã được bao gồm trong exe. Cũng xin lưu ý rằng
phần lớn chức năng cốt lõi của Volatility cũng sẽ hoạt động mà
khơng có bất kỳ phụ thuộc bổ sung nào. Bạn sẽ chỉ cần cài đặt các
gói nếu bạn định sử dụng các plugin cụ thể tận dụng các gói đó (xem
phần thư viện được đề xuất) hoặc nếu bạn muốn nâng cao trải
nghiệm của mình (xem phần thư viện tùy chọn). Lưu ý: đối với
Linux, bạn có thể phải cài đặt một vài gói / thư viện khác làm điều
kiện tiên quyết cho các gói được đề xuất sau (Ví dụ: apt-get install
pcregrep libpcre ++ - dev python-dev -y)
2.1.1. Các thư viện được đề xuất.
Để được hỗ trợ plugin toàn diện nhất, bạn nên cài đặt các thư
viện sau. Nếu bạn không cài đặt các thư viện này, bạn có thể thấy
thơng báo cảnh báo để nâng cao nhận thức của mình, nhưng tất
cả các plugin khơng dựa vào các thư viện bị thiếu sẽ vẫn hoạt
động bình thường.
- Distorm3 : Thư viện Dissassembler mạnh mẽ dành cho
x86/AMD64
Các plugin phụ thuộc:
o Apihooks
o Callbacks
o Impscan
o Kdbgscan, pslist, modules v.v. cho các máy chạy
Windows 8/2012
o Các lệnh dissassemble trong volshell, linux_volshell và
mac_volshell.
- Yara : Một công cụ phân loại và nhận dạng phần mềm độc
hại.
Các plugin phụ thuộc:
o yarascan, linux_yarascan, mac_yarascan
Lưu ý: lấy yara từ trang web chính của dự án, không cài đặt
bằng pip.
Lưu ý: nếu bạn đang sử dụng Linux, bạn có thể phải sử dụng
lệnh sau:
echo "/usr/local/lib" >> /etc/ld.so.conf && ldconfig
- PyCrypto : Bộ công cụ mật mã Python
Các plugin phụ thuộc:
o Lsadump
o Hashdump
Lưu ý: điều này yêu cầu python-dev để cài đặt (trừ khi bạn
nhận được các tệp nhị phân được tạo sẵn)
- PIL : Thư viện hình ảnh Python
Các plugin phụ thuộc:
o Screenshots
- OpenPyxl : Thư viện Python để đọc / ghi tệp Excel 2007 xlsx
/ xlsm
Các plugin phụ thuộc:
o Bất kỳ plugin nào đã được chuyển đổi sang định dạng
hợp nhất (với tùy chọn --output=xlsx)
- Ujon: Thư viện phân tích cú pháp JSON cực nhanh
Các plugin phụ thuộc:
o Các plugin phụ thuộc: bất kỳ thứ gì sử dụng
--output=html
2.1.2. Các thư viện tùy chọn
Các thư viện sau đây là tùy chọn. Nếu chúng được cài đặt,
Volability sẽ tìm và sử dụng chúng; nếu khơng một phương pháp
thay thế thích hợp sẽ được chọn.
- pytz để chuyển đổi múi giờ. Thay thế: tzset (tiêu chuẩn với
Python)
- IPython để nâng cao trải nghiệm volshell. Thay thế: code
(tiêu chuẩn với Python)
- libforecular1394 để phân tích trực tiếp qua firewire. Thay
thế: Libraw1394
3. Cập nhật Volatility
Nếu bạn đã sử dụng setup.py để cài đặt Volatility, các tệp sẽ được đặt ở
một vài vị trí tiêu chuẩn. Ví dụ:
Rất tiếc, khơng có trình gỡ cài đặt và nếu bạn chỉ cố chạy setup.py cho
phiên bản mới của Volatility, bạn có thể gặp phải một số tệp nguồn hỗn
$ sudo rm -rf /usr/local/lib/python2.6/dist-packages/volatility
$ sudo rm `which vol.py`
$ sudo rm -rf /usr/local/contrib/plugins
hợp, điều này chắc chắn sẽ dẫn đến rắc rối. Vì vậy, trước khi bạn cài đặt
phiên bản mới của Volatility, hãy xóa mọi thứ mà setup.py đã tạo trước
đó:
Bây giờ bạn có thể chạy setup.py cho phiên bản Volatility mới của mình.
Như đã nêu ở trên, hãy nhớ setup.py chỉ cần thiết nếu bạn định nhập
Volatility làm thư viện từ các tập lệnh Python khác. Nếu bạn chỉ muốn
sử dụng Volatility, không cần cài đặt (chỉ cần giải nén kho lưu trữ và
chạy vol.py bên trong).
III. Các lệnh cơ bản
Các lệnh Volatility cơ bản nhất được xây dựng như hình dưới đây. Thay thế
[plugin] bằng tên của plugin để sử dụng, [image] với đường dẫn tệp đến
hình ảnh bộ nhớ của bạn và [profile] bằng tên cấu hình (chẳng hạn như
Win7SP1x64).
Ví dụ:
Đối với mọi thứ ngồi ví dụ này, chẳng hạn như kiểm soát định dạng đầu ra,
liệt kê các plugin và cấu hình có sẵn hoặc cung cấp các tùy chọn dành riêng
$ python vol.py [plugin] -f [image] --profile=[profile]
cho plugin, hãy xem phần còn lại của văn bản bên dưới.
1.
Các tùy chọn chung
$ python vol.py pslist
-f /path/to/memory.img --profile=Win7SP1x64
Có một số tùy chọn dòng lệnh chung (tức là chúng áp dụng cho tất cả
các plugin). Phần này dành cho những người mới làm quen với Volatility
hoặc bất kỳ ai muốn làm quen hơn với những chức năng có thể được
tinh chỉnh.
1.1.
Hiển thị Trợ giúp.
Bạn có thể hiển thị menu trợ giúp chính bằng cách truyền -h hoặc
--help trên dịng lệnh. Điều này hiển thị các tùy chọn chung và liệt
kê các plugin có sẵn cho cấu hình hiện được chỉ định. Nếu bạn
khơng chỉ định cấu hình, bạn sẽ làm việc với cấu hình mặc định,
WinXPSP2x86, do đó bạn sẽ chỉ thấy các plugin hợp lệ cho hệ điều
hành và kiến trúc đó (ví dụ: bạn sẽ khơng thấy plugin linux hoặc
plugin windows chỉ hoạt động trên Vista). Để chỉ định cấu hình
khác với cấu hình mặc định, hãy xem “Chọn cấu hình” bên dưới.
Phần cịn lại của phần này sẽ thảo luận chi tiết hơn về các tùy chọn
khác nhau.
$ python vol.py -h
-h, --help
list all available options and their default values.
Default
1.2. Chọn
Cấu values
hình may be set in the configuration file
(/etc/volatilityrc)
--conf-file=/Users/mhl/.volatilityrc
User based
configuration
Volatility
cần biết
bộ nhớ củafile
bạn đến từ loại hệ thống nào, vì vậy
-d, --debug
Debug volatility
cấu trúcplugin
dữ liệu,
thuật toán to
và use
ký hiệu
nàoseparated)
sẽ sử dụng. Cấu
--plugins=PLUGINS nó biết
Additional
directories
(colon
--info
about all registered
hìnhPrint
mặc information
định của WinXPSP2x86
được đặt objects
bên trong, vì vậy nếu
--cache-directory=/Users/mhl/.cache/volatility
bạnDirectory
đang phân
tích cache
kết xuất
bộare
nhớstored
Windows XP SP2 x86, bạn
where
files
--cache
Use cần
caching
không
cung cấp --profile. Tuy nhiên, đối với tất cả những người
--tz=TZ
Sets the (Olson) timezone for displaying timestamps
khác,
using
bạn pytz
phải chỉ
(if định
installed)
tên hồ sơ
or thích
tzsethợp.
-f FILENAME, --filename=FILENAME
Filename to use when opening an image
Lưu ý: Nếu bạn không biết kết xuất bộ nhớ thuộc loại hệ thống nào,
--profile=WinXPSP2x86
of the
profile
to load hoặc
(use --info
to see
hãyName
sử dụng
plugin
[imageinfo]
[kdbgscan]
để acólist
gợi ý. Các
of supported profiles)
plugin này chỉ dành cho Windows.
-l LOCATION, --location=LOCATION
A URN location from which to load an address space
-w, --write
write support
NếuEnable
bạn muốn
xem danh sách các tên hồ sơ được hỗ trợ, hãy làm
--dtb=DTB
DTB Address
--output=text
nhưOutput
sau: in this format (support is module specific, see
the Module Output Options below)
--output-file=OUTPUT_FILE
Write output in this file
-v, --verbose
Verbose information
--shift=SHIFT
Mac KASLR shift address
-g KDBG, --kdbg=KDBG Specify a KDBG virtual address (Note: for 64-bit
Windows 8 and above this is the address of
KdCopyDataBlock)
--force
Force utilization of suspect profile
-k KPCR, --kpcr=KPCR Specify a specific KPCR address
--cookie=COOKIE
Specify the address of nt!ObHeaderCookie (valid for
Windows 10 only)
$ python vol.py --info
VistaSP0x64
- A Profile for Windows Vista SP0 x64
1.3. Các tùy chọn-khác.
VistaSP0x86
A Profile for Windows Vista SP0 x86
VistaSP1x64
- A Profile for Windows Vista SP1 x64
VistaSP1x86 Nếu bạn sắp tham
- A gia
Profile
for Windows
Vista
x86muốn nhập lại
một cuộc
điều tra dài
và SP1
không
VistaSP2x64
- A Profile for Windows Vista SP2 x64
VistaSP2x86 các tùy chọn phổ
- Abiến,
Profile
forlựa
Windows
Vista
SP2
x86mơi trường và
có hai
chọn thay
thế:
biến
Win10x64
- A Profile for Windows 10 x64
tệp cấu hình. Nếu
một tùyfor
chọn
khơng10được
Win10x86
- A Profile
Windows
x86 cung cấp trên dịng
Win2003SP0x86lệnh, thì Volatility
- A Profile
for Windows
sẽ cố gắng
lấy tùy 2003
chọnSP0
đó x86
từ một biến mơi
Win2003SP1x64
- A Profile for Windows 2003 SP1 x64
đó khơng
cơng2003
nó sẽ
gắng tìm từ một
Win2003SP1x86trường và nếu điều
- A Profile
forthành
Windows
SP1cốx86
Win2003SP2x64tệp cấu hình. - A Profile for Windows 2003 SP2 x64
Win2003SP2x86
- A Profile for Windows 2003 SP2 x86
Win2008R2SP0x64
- A Profile for Windows 2008 R2 SP0 x64
Win2008R2SP1x64
1.3.1.
Biến môi
- A trường.
Profile for Windows 2008 R2 SP1 x64
Win2008SP1x64
- A Profile for Windows 2008 SP1 x64
Win2008SP1x86
- A Profile for Windows 2008 SP1 x86
hoặcfor
OS Windows
X, bạn có
thểSP2
đặt x64
các tùy chọn bằng
Win2008SP2x64 Trên hệ thống
- Linux
A Profile
2008
Win2008SP2x86 cách xuất chúng
- A Profile
forbao
Windows
2008 SP2
trong trình
của mình,
như x86
được hiển thị bên
Win2012R2x64
- A Profile for Windows Server 2012 R2 x64
dưới:
Win2012x64
- A Profile for Windows Server 2012 x64
Win7SP0x64
- A Profile for Windows 7 SP0 x64
Win7SP0x86
- A Profile for Windows 7 SP0 x86
1.3.2.
Tệp cấu
hình.
Win7SP1x64
- A Profile for Windows 7 SP1 x64
$ export VOLATILITY_PROFILE=Win7SP0x86
Win7SP1x86
- A Profile for Windows 7 SP1 x86
$ export VOLATILITY_LOCATION=file:///tmp/myimage.img
Win81U1x64
-hình
A Profile
Windows 8.1 Update
1 x64
$ export
VOLATILITY_KDBG=0x82944c28
Các
tệp cấu
thường for
là "volualityrc"
trong thư
mục hiện tại
Win81U1x86
- A pslist
Profile for Windows 8.1 Update 1 x86
$ python vol.py
hoặc
~/.volabilityrc
(thư for
mụcWindows
chính 8của
Win8SP0x64
- A files
Profile
x64người dùng), hoặc tại
$ python
vol.py
Win8SP0x86
A Profile
x86 tùy chọn --conf-file).
đường dẫn do- người
dùngfor
chỉ Windows
định (sử8dụng
Win8SP1x64
- A Profile for Windows 8.1 x64
Dưới đây là một
dụ về nội
tệp:8.1 x86
Win8SP1x86
- A ví
Profile
for dung
Windows
WinXPSP1x64
- A Profile for Windows XP SP1 x64
WinXPSP2x64
A Profile for Windows XP SP2 x64
[DEFAULT]
Các tệp cấu --hình
đặc biệt hữu ích khi xử lý một số mẫu bộ nhớ
WinXPSP2x86
A Profile for Windows XP SP2 x86
PROFILE=Win7SP0x86
WinXPSP3x86
trong một lần.- A Profile for Windows XP SP3 x86
LOCATION=file:///tmp/myimage.img
Chú
ý:
KDBG=0x82944c28
- Các cờ plugin khác có thể được sử dụng theo cách này, ví dụ
như KPCR, DTB hoặc PLUGINS. Khi xuất các biến, chỉ cần
đặt tiền tố VOLATILITY_ trước tên cờ (ví dụ:
VOLATILITY_KPCR). Nếu khơng, tên cờ vẫn giữ ngun
khi thêm nó vào tệp cấu hình.
- Nếu bạn có một đường dẫn có khoảng trắng trong tên, thì nên
thay dấu cách bằng %20 (ví dụ: LOCATION = file: ///tmp/my
%20image.img).
1.4.
Bật thông báo gỡ lỗi
Nếu điều gì đó khơng xảy ra trong Volatility theo cách bạn mong
đợi, hãy thử chạy lệnh với -d / --debug. Điều này sẽ cho phép in
thông báo gỡ lỗi thành lỗi chuẩn. Nếu bạn thực sự cần gỡ lỗi
Volatility (như khi sử dụng trình gỡ lỗi pdb), hãy thêm “ -d -d -d “
vào các lệnh của bạn.
1.5.
Sử dụng bộ nhớ đệm
Lưu ý: Bộ nhớ đệm đã bị tắt vào lúc này.
Bộ nhớ đệm cho phép Volatility lưu trữ các đối tượng và hằng số
tùy ý để truy xuất sau này. Điều này có thể bao gồm, địa chỉ DTB,
KDBG hoặc KPCR, tồn bộ bảng dịch trang x86 hoặc thậm chí
cấu trúc dữ liệu giải nén ở chế độ ngủ đông. Để cho phép sử dụng
bộ đệm, hãy thêm --cache vào các lệnh của bạn. Tính năng này
chọn (tuần tự hóa) dữ liệu trong các tệp trên đĩa của bạn, vì vậy
nếu bạn muốn chọn vị trí của các tệp trong bộ đệm, hãy sử dụng
--cache-directory. Để biết thêm thông tin, hãy xem trang hệ thống
bộ nhớ đệm trong hướng dẫn dành cho nhà phát triển cho phiên
bản phát hành của bạn.
1.6.
Đặt múi giờ
Dấu thời gian được trích xuất từ bộ nhớ có thể theo giờ địa
phương hệ thống hoặc theo Tọa độ thời gian toàn cầu (UTC). Nếu
chúng đang ở UTC, có thể hướng dẫn cho volatility hiển thị chúng
theo múi giờ mà nhà phân tích lựa chọn. Để chọn múi giờ, hãy sử
dụng một trong các tên múi giờ chuẩn (chẳng hạn như Châu Âu /
Luân Đôn, Hoa Kỳ / Miền Đông hoặc hầu hết các múi giờ của
Olson) với cờ --tz = TIMEZONE. Volatility cố gắng sử dụng pytz
nếu được cài đặt, nếu khơng nó sẽ sử dụng tzset.
Lưu ý rằng việc chỉ định múi giờ sẽ không ảnh hưởng đến cách
hiển thị giờ địa phương của hệ thống.
$ python vol.py -f Theo
win7.vmem
--tz=America/Chicago
mặc --profile=Win7SP1x86
định, dấu thời gianpslist
_EPROCESS
CreateTime và
Volatility Foundation Volatility Framework 2.4
ExitTime ở UTC. PID
Dưới đây
ra từ Volatility
có càiWow64
đặt pytz:
Offset(V) Name
PPIDlà đầu
Thds
Hnds
Sess
Start
Exit
---------- ----------------------------------Dưới đây là kết-----quả từ-----cùng một
mẫu-------bằng cách
sử dụng
tùy chọn
------------------------------ -----------------------------0x84133630 System --tz = America / Chicago
4
93
420 -----0
để0lấy Central
Standard
Time:
2011-10-20 10:25:11
15:25:11 CDT-0500
UTC+0000
0x852add40 smss.exe
276
4
4
29 -----0
đây là đầu ra tương tự ở trên, nhưng khơng có thư viện pytz
2011-10-20 10:25:11
15:25:11Dưới
UTC+0000
CDT-0500
0x851d9530 csrss.exe
364
356
9
560
0
0
2011-10-20 10:25:15
15:25:15 CDT-0500
UTC+0000
0x859c8530 wininit.exe
404
356
7
88
0
0
2011-10-20 10:25:16
15:25:16 CDT-0500
UTC+0000
0x859cf530 csrss.exe
416
396
10
236
1
0
2011-10-20 10:25:16
15:25:16 CDT-0500
UTC+0000
[snip]
được cài đặt:
$ python2.6 vol.py -f win7.vmem --profile=Win7SP1x86 pslist
--tz=America/Chicago
Volatility Foundation
Volatility Framework 2.4
1.7. Đặt DTB
Offset(V) Name
PID
PPID
Thds
Hnds
Sess Wow64
Start
Exit
DTB (Directory-----Table -----Base) là
thứ mà
Volatile
sử dụng
để dịch
---------- ---------------------------------------------------------------------------------------------------các địa chỉ ảo sang địa chỉ vật lý. Theo mặc định, kernel DTB
0x84133630 System
4
0
93
420 -----0
được
2011-10-20 10:25:11
CDT sử dụng (từ quy trình Chờ / Hệ thống). Nếu bạn muốn sử
0x852add40 smss.exe
4
dụng DTB của một276
quy trình
khác 4khi truy 29
cập-----dữ liệu, hãy0 cung
2011-10-20 10:25:11 CDT
0x851d9530 csrss.exe
356
9
560
0
0
cấp địa chỉ cho 364
2011-10-20 10:25:15 CDT
0x859c8530 wininit.exe
404
356
7
88
0
0
--dtb=ADDRESS.
2011-10-20 10:25:16
CDT
0x859cf530 csrss.exe
416
396
10
236
1
0
2011-10-20 10:25:16
CDT
1.8. Đặt địa chỉ KDBG
[snip]
Đây là tùy chọn chỉ dành cho Windows
Volatility quét cấu trúc _KDDEBUGGER_DATA64 bằng cách sử
dụng chữ ký được mã hóa cứng "KDBG" và một loạt các kiểm tra.
Những chữ ký này khơng quan trọng để hệ điều hành hoạt động
bình thường, do đó phần mềm độc hại có thể ghi đè chúng nhằm
mục đích loại bỏ các cơng cụ dựa vào chữ ký. Ngồi ra, trong một
số
trường
hợp,
có
thể
có
nhiều
hơn
một
_KDDEBUGGER_DATA64 (ví dụ: nếu bạn áp dụng bản cập nhật
hệ điều hành lớn và không khởi động lại), điều này có thể gây
nhầm lẫn và dẫn đến danh sách quy trình và mơ-đun khơng chính
xác, trong số các sự cố khác. Nếu bạn biết địa chỉ thêm
_KDDEBUGGER_DATA64, bạn có thể chỉ định địa chỉ đó bằng
--kdbg=ADDRESS và điều này sẽ ghi đè quá trình quét tự động.
Để biết thêm thông tin, hãy xem plugin [kdbgscan].
Đối với Windows 8 trở lên, tham số --kdbg phải là địa chỉ của
KdCopyDataBlock.
1.9.
Đặt địa chỉ KPCR
Đây là tùy chọn chỉ dành cho Windows
Có một KPCR (Kernel Processor Control Region) cho mỗi CPU
trên hệ thống. Một số plugin Volatility hiển thị thơng tin về mỗi bộ
xử lý. Vì vậy, nếu bạn muốn hiển thị dữ liệu cho một CPU cụ thể,
chẳng hạn như CPU 3 thay vì CPU 1, bạn có thể chuyển địa chỉ
của KPCR của CPU đó với --kpcr = ADDRESS. Để định vị
KPCR cho tất cả CPU, hãy xem plugin [kpcrscan]. Cũng xin lưu ý
rằng bắt đầu từ volatility 2.2, nhiều plugin như [idt] và [gdt] tự
động lặp lại qua danh sách KPCR.
1.10. Bật hỗ trợ ghi
Ghi hỗ trợ trong Volatility nên được sử dụng một cách thận trọng.
Do đó, để thực sự kích hoạt nó, bạn khơng chỉ phải gõ --write trên
dịng lệnh mà cịn phải nhập "mật khẩu" để trả lời câu hỏi mà bạn
sẽ được nhắc. Trong hầu hết các trường hợp, bạn sẽ khơng muốn
sử dụng hỗ trợ ghi vì nó có thể dẫn đến hỏng hoặc sửa đổi dữ liệu
trong kết xuất bộ nhớ của bạn. Tuy nhiên, vẫn tồn tại những
trường hợp đặc biệt khiến tính năng này thực sự thú vị. Ví dụ: bạn
có thể làm sạch một hệ thống trực tiếp của một số phần mềm độc
hại nhất định bằng cách ghi vào RAM qua firewire hoặc bạn có
thể đột nhập vào một máy trạm bị khóa bằng cách vá các byte
trong winlogon DLL.
1.11. Chỉ định Thư mục Plugin Bổ sung
Kiến trúc plugin của Volatility có thể tải các tệp và hồ sơ plugin từ
nhiều thư mục cùng một lúc. Trong mã nguồn Volatility, hầu hết
các plugin đều nằm trong volatility/plugins. Tuy nhiên, có một thư
mục khác (volatility/contrib) được dành riêng cho các đóng góp từ
các nhà phát triển bên thứ ba hoặc các plugin được hỗ trợ yếu mà
chỉ đơn giản là không được bật theo mặc định. Để truy cập các
plugin này, bạn chỉ cần gõ --plugins=contrib/plugins trên dịng
lệnh. Nó cũng cho phép bạn tạo một thư mục riêng gồm các
plugin của riêng bạn mà bạn có thể quản lý mà khơng cần phải
thêm / xóa / sửa đổi các tệp trong thư mục gốc.
Chú ý:
- Các thư mục con cũng sẽ được duyệt qua miễn là có tệp
__init__.py (có thể trống) bên trong chúng.
- Tham số cho --plugins cũng có thể là một tệp zip chứa các
plugin như --plugins=myplugins.zip.
- Nếu thư mục được chỉ định chứa các cấu hình, chúng cũng sẽ
được tải. Điều này thuận tiện cho việc sử dụng các cấu hình
Linux / Android / Mac được tạo với khả năng thực thi độc lập
của Volability.
Do cách các plugin được tải, thư mục plugin bên ngoài hoặc tệp
zip phải được chỉ định trước bất kỳ đối số cụ thể của plugin nào
(bao gồm cả tên của plugin). Thí dụ:
$ python vol.py --plugins=contrib/plugins -f XPSP3x86.vmem
example
1.12. Chọn định dạng Đầu ra
Theo mặc định, các plugin sử dụng trình kết xuất văn bản cho đầu
ra tiêu chuẩn. Nếu bạn muốn chuyển hướng đến một tệp, tất nhiên
bạn có thể sử dụng chuyển hướng của bảng điều khiển (tức là >
out.txt) hoặc bạn có thể sử dụng --output-file=out.txt.
Lý do bạn cũng có thể chọn --output=FORMAT là để cho phép
các plugin cũng hiển thị đầu ra dưới dạng HTML, JSON, SQL
hoặc bất kỳ thứ gì bạn chọn. Tuy nhiên, khơng có plugin nào có
các định dạng đầu ra thay thế đó được định cấu hình trước để sử
dụng, vì vậy bạn sẽ cần thêm một hàm có tên là render_html,
render_json, render_sql, tương ứng vào mỗi plugin trước khi sử
dụng --output=HTML.
2. Các tùy chọn cụ thể của plugin
Nhiều plugin chấp nhận các đối số của riêng chúng, độc lập với các tùy
chọn chung. Để xem danh sách các tùy chọn có sẵn, hãy nhập cả tên
plugin và -h / - help trên dòng lệnh.
3.
$ python
>>> import volatility.conf as conf
$ python
dlllist -h
>>>
importvol.py
volatility.registry
as registry
>>> registry.PluginImporter()
<volatility.registry.PluginImporter object at 0x7f9608f3ac10>
>>> config = conf.ConfObject()
>>>
import
volatility.commands
Sử dụng
Volatility
làm Thư viện as commands
>>> import volatility.addrspace as addrspace
>>> registry.register_global_options(config, commands.Command)
>>>
Nếuregistry.register_global_options(config,
bạn cần nhập Volatility từ một trong các tập lệnh python khác
addrspace.BaseAddressSpace)
mình,
bạn có thể sử dụng mã ví dụ sau:
>>>
config.parse_options()
>>> config.PROFILE="WinXPSP2x86"
>>> config.LOCATION = "file:///media/memory/private/image.dmp"
>>> import volatility.plugins.taskmods as taskmods
>>> p = taskmods.PSList(config)
>>> for process in p.calculate():
...
print process
...
của
IV.
Các plugin thường được sử dụng
Phần một của dự án Volatility này được dành để nghiên cứu các plugin mà
các đội xử lý sự cố rất có thể sẽ sử dụng trong một số trường hợp. Điều
quan trọng là phải biết cách chạy các lệnh này và hiểu khi nào sử dụng
chúng trong q trình điều tra, vì Volatility có thể là một chương trình khó
sử dụng.
1. Vùng nhớ
Các plugin liên quan đến phần này xác định hình ảnh bộ nhớ đang được
phân tích và cung cấp hiểu biết cơ bản về những gì nó chứa.
1.1.
Imageinfo
Imageinfo xác định hình ảnh bộ nhớ và đề xuất một cấu hình để
sử dụng. Volatility địi hỏi bạn phải chỉ định hình ảnh bộ nhớ đến
từ hệ điều hành nào. Lệnh này xác định hệ điều hành để bạn có thể
chạy các lệnh khác.
i.
1.2.
Cách sử dụng :
Crashinfo
Plugin này hiển thị thông tin được lưu trữ trong tiêu đề
crashdump.
i.
ii.
$python vol.py
–f
Cách sử dụng :
Đầu ra :
• MajorVersion
• MinorVersion
• KdSecondaryVersion
$python vol.py –f
crashinfo
• DirectoryTableBase
• PfnDataBase
• PsLoadedModuleList
• PsActiveProcessHead
• MachineImageType
• NumberProcessors
• BugCheckCode
• KdDebuggerDataBlock
• ProductType
• SuiteMask
• WriterStatus
• Comment
• Physical Memory Description
1.3.
Hibinfo
Plugin này kết xuất thơng tin tệp ngủ đơng nếu hệ thống đã từng ở
chế độ đó.
i.
Cách sử dụng:
ii.
Đầu ra :
• Signature
• System Time
• Control
registers
flagsto image> --profile=
$python
vol.py
–f
• Windows Version
1.4.
Imagecopy
Imagecopy sao chép khơng gian địa chỉ vật lý ra ngồi dưới dạng
hình ảnh ổ đĩa thơ (dd)
i.
Cách sử dụng
$python vol.py –f
imagecopy -O <output file>
2. Các tiến trình và DLLs
Các plugin liên quan đến phần này xác định các quy trình đang chạy tại
thời điểm kết xuất bộ nhớ và có thể tìm thấy các tệp DLL ẩn.
2.1.
Pslist
Pslist in tất cả các tiến trình đang chạy bằng theo các danh sách
EPROCESS. Lệnh này sẽ hiển thị mọi quy trình đang chạy trên hệ
thống và có thể được sử dụng để chứng minh rằng một quy trình
cụ thể đã được mở hoặc để tìm kiếm quy trình đáng ngờ trong một
cuộc điều tra.
i.
Cách sử dụng
ii.
Đầu ra
• Offset (By default Virtual Offset, -P for Physical)
• Name
$python vol.py –f
pslist
• PID
• PPID
• Threads
• Number of Handles
• Session ID (System and smss.exe will not have a Session
ID)
• If it is a Wow64 process
• Start/Exit time
2.2.
Pstree
Pstree in danh sách quy trình dưới dạng cây. Lệnh này hiển thị
thông tin giống như pslist, chỉ ở dạng cây. Điều này cho phép bạn
xem mọi thứ thuộc về quy trình mẹ nào. Điều này có thể được sử
dụng để xem liệu một q trình có đang cố gắng ẩn dưới dạng một
cái gì đó khác hay khơng.
Cách sử dụng
i.
2.3.
Psscan
Plugin này có thể tìm thấy các quy trình đã bị rootkit chấm dứt
hoặc hủy liên kết trước đó. Lệnh này liệt kê các tiến trình đang
$python vol.py –f
chạy
trên hệ thống, nhưng nó cũng có khả năng liệt kê các tiến
pstree
trình ẩn / khơng liên kết. Lệnh này có thể được sử dụng trong một
cuộc điều tra để phát hiện ra phần mềm độc hại ẩn như keylogger
hoặc rootkit.
2.4.
i.
Cách sử dụng
ii.
Đầu ra
• Offset
• Name
• PID
$python vol.py –f
• PPID
psscan
• PDB
• Time Created
• Time exited
Dllist
Dllist hiển thị các tệp DLL đã tải của quy trình. Bạn có thể sử
dụng chuyển đổi -p hoặc-lipid để lọc. Lệnh này sẽ hiển thị mọi
DLL mà một tiến trình gọi và có thể hữu ích trong việc điều tra
bằng cách khám phá xem một tiến trình có đang gọi các DLL mà
nó khơng nên gọi hay khơng. Ví dụ: phần mềm độc hại đang ẩn
dưới dạng một quy trình hệ thống và gọi các DLL khơng thuộc hệ
thống.
i.
Cách sử dụng
ii.
Đầu ra
• Base
• Sizevol.py –f
$python
dlllist
• Path
2.5.
Dlldump
Dlldump kết xuất DLL vào đĩa. Lệnh này sẽ trích xuất một DLL
được chỉ định từ hình ảnh bộ nhớ và DLL sau đó có thể được điều
tra thêm bằng cách sử dụng các chương trình khác.
i.
Cách sử dụng
ii.
Tham số
1. Khơng có Đối số: kết xuất tất cả các DLL từ tất cả các
quy trình
$python vol.py –f
dlldump
2. -pid = <PID>: Kết xuất tất cả các DLL từ một quy
trình
cụ thể
3. --offset = <OFFSET>: tất cả các DLL từ một quy trình ẩn
/ không liên kết
4. --base = <BASEADDR>: Kết xuất một PE từ bất kỳ đâu
trong bộ nhớ xử lý
5. --regex = <REGEX>: Kết xuất các tệp DLL khớp với
một biểu thức chính quy - dumpdir = <DIR> hoặc –d
<DIR>: chỉ định thư mục đầu ra
2.6.
Handles
Plugin này hiển thị các handle trong một tiến trình.
i.
Cách sử dụng
ii.
Tham số
1. --pid = <PID>: lọc theo PID
2. --physical-offset = <OFFSET>: lọc theo bù vật lý
3. -t <OBJECTTYPE>: lọc theo loại đối tượng
$python vol.py –f
handles
4. --object-type = < OBJECTTYPE>: lọc theo loại đối
tượng
Đầu ra
• Offset
• PID
• Handle
• Access
• Object Type
Cmdscan
iii.
2.7.
Plugin này hiển thị mọi lệnh được nhập thơng qua console shell.
Điều này có thể hữu ích cho một cuộc điều tra trong đó nó sẽ hiển
thị các lệnh mà người dùng đã nhập vào dấu nhắc lệnh hoặc
những lệnh mà kẻ xâm nhập thực hiện từ xa.
i.
Cách sử dụng
ii.
Đầu ra
• Tên của tiến trình lưu trữ trên bảng điều khiển
• Ứng dụng sử dụng bảng điều khiển
$python
vol.py
–f lần
image>
--profile=
• Vị trí
của các
đệm
lịch
sử lệnh, số bộ đệm
cmdscan
hiện
tại, lệnh được thêm lần cuối và lệnh được hiển thị cuối cùng
• Handle của tiến trình
3. Các đối tượng bộ nhớ và kernel
Các plugin liên quan đến phần này trích xuất bộ nhớ, hiển thị trình điều
khiển hạt nhân và cung cấp danh sách các tệp đang mở trên hệ thống.
3.1.
Procmemdump
Plugin này kết xuất một quy trình vào một mẫu bộ nhớ thực thi.
Lệnh này sẽ trích xuất một q trình, bao gồm cả khơng gian
chùng, từ một hình ảnh bộ nhớ. Điều này sẽ cho phép bạn sau đó
điều tra thêm quá trình nghi ngờ bằng cách sử dụng các công cụ
khác.
i.
Cách sử dụng
1. –unsafe hoặc -u để bỏ qua kiểm tra sanity
3.2.
Procexedump
Plugin này trích xuất một tiến trình vào một mẫu tệp thực thi.
Lệnh này sẽ trích xuất một q trình từ hình ảnh bộ nhớ và sau đó
$python
–f
--profile=
sẽ cho
phépvol.py
bạn điều
tra thêm
quá trình
nghi ngờ bằng cách sử
procmemdump -D <output location> -p <PID>
dụng các công cụ khác.
i.
Cách sử dụng
1. –unsafe hoặc -u để bỏ qua kiểm tra sanity
3.3.
Modscan
$python quét
vol.pybộ
–f
nhớ tovậtimage>
lý --profile=
cho các đối tượng
procexedump -D <output location> -p <PID>
_LDR_DATA_TABLE_ENTRY. Lệnh này sẽ hiển thị các trình
điều khiển hạt nhân, bao gồm cả những trình điều khiển đã bị ẩn /
hủy liên kết.
i.
Cách sử dụng
$python vol.py –f
modscan
