CHI TIẾT BÀI VIẾT

Giới thiệu Volatility framework

25/07/2021 4:57:45 PM | Xem: lần

1. Giới thiệu:
Volatility framework : là 1 framework mã nguồn mở , được sử dụng để phản hồi sự cố và phân tích phần mềm độc hại.Sử dụng công cụ này, bạn có thể trích xuất thông tin từ những quy trình đang chạy, network socket, DLL và cả các registry hive.

2. Chức năng
Volatility framework được sử dụng dưới dạng gõ câu lệnh trong đó có các câu lệnh đáng chú ý như :
+ malfind: câu lệnh này tìm code được tiêm vào trong 1 process (nếu được cung cấp processID cụ thể) hoặc cả hệ thống (nếu không có processID)
+ vaddump : câu lệnh này sẽ đổ tất cả vùng nhớ vào 1 file riêng biệt
+ dlldump: để đổ 1 file dll từ vùng nhớ của process lên ổ đĩa.
+ dlllist: liệt kê tất cả mô-đun từ PEB(Process enviroment block)
+ldrmodules: liệt kê những mô-đun trong EPROCESS.
+ HollowFind: là 1 plugin của Volatility framework dùng để phát hiện các vùng nhớ đáng ngờ