Volatility

2021-07-16 01:31:51 作者：互联网

Volatility学习

查看活动进程，我们还可以查看创建镜像时的活动网络连接！现在让我们使用命令 volatility -f MEMORY_FILE.raw --profile=PROFILE netscan 来执行此操作。

恶意软件试图隐藏自身以及与之关联的进程是很常见的。话虽如此，我们可以通过命令 psxview 查看有意隐藏的进程

除了通过 psxview 查看隐藏进程之外，我们还可以通过命令“ldrmodules”更加专注地检查这一点。这里中间会出现三列，InLoad、InInit、InMem。如果其中任何一个是错误的，则该模块可能已被注入，这是一件非常糟糕的事情。

当我们检查机器时，流程并不是我们唯一关心的领域。使用 'apihooks' 命令，我们可以查看标准系统 DLL 中的意外补丁。如果我们看到 Hooking module: 的实例，那真的很糟糕。

注入的代码可能是一个大问题，并且高度指示非常非常糟糕的事情。我们可以使用命令 malfind 来检查这一点。使用完整的命令 volatility -f MEMORY_FILE.raw --profile=PROFILE malfind -D <Destination Directory> 我们不仅可以找到此代码，还可以将其转储到我们指定的目录中。

使用命令 dlllist 列出内存中的所有 DLL

现在使用命令 volatility -f MEMORY_FILE.raw --profile=PROFILE --pid=PID dlldump -D <Destination Directory> 执行此操作，其中 PID 是我们之前确定的受感染进程的进程 ID