Volatility
2021/7/16 6:06:42
本文主要是介绍Volatility,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
Volatility学习
查看活动进程,我们还可以查看创建镜像时的活动网络连接!现在让我们使用命令
volatility -f MEMORY_FILE.raw --profile=PROFILE netscan
来执行此操作。
恶意软件试图隐藏自身以及与之关联的进程是很常见的。话虽如此,我们可以通过命令
psxview
查看有意隐藏的进程
除了通过 psxview 查看隐藏进程之外,我们还可以通过命令“ldrmodules”更加专注地检查这一点。这里中间会出现三列,InLoad、InInit、InMem。如果其中任何一个是错误的,则该模块可能已被注入,这是一件非常糟糕的事情。
当我们检查机器时,流程并不是我们唯一关心的领域。使用 'apihooks' 命令,我们可以查看标准系统 DLL 中的意外补丁。如果我们看到 Hooking module:
的实例,那真的很糟糕。
注入的代码可能是一个大问题,并且高度指示非常非常糟糕的事情。我们可以使用命令
malfind
来检查这一点。使用完整的命令volatility -f MEMORY_FILE.raw --profile=PROFILE malfind -D <Destination Directory>
我们不仅可以找到此代码,还可以将其转储到我们指定的目录中。
使用命令
dlllist
列出内存中的所有 DLL
现在使用命令
volatility -f MEMORY_FILE.raw --profile=PROFILE --pid=PID dlldump -D <Destination Directory>
执行此操作,其中 PID 是我们之前确定的受感染进程的进程 ID
推荐文章:
https://blog.csdn.net/qq_43431158/article/details/109462833
这篇关于Volatility的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-06-15matplotlib作图不显示3D图,怎么办?
- 2024-06-1503-Loki 日志监控
- 2024-06-1504-让LLM理解知识 -Prompt
- 2024-06-05做软件测试需要懂代码吗?
- 2024-06-0514-ShardingSphere的分布式主键实现
- 2024-06-03为什么以及如何要进行架构设计权衡?
- 2024-05-31全网首发第二弹!软考2024年5月《软件设计师》真题+解析+答案!(11-20题)
- 2024-05-31全网首发!软考2024年5月《软件设计师》真题+解析+答案!(21-30题)
- 2024-05-30【Java】百万数据excel导出功能如何实现
- 2024-05-30我们小公司,哪像华为一样,用得上IPD(集成产品开发)?