اضافات مفيدة في مشروع تحليل الذاكرة volatility

لمن لا يعرف مشروع الـ Volatility Framework هو عباره عن بيئة متقدمه تستخدم لتحليل صور الذاكرة واستخراج الادلة والمعلومات منها. مشروع مفتوح المصدر مكتوب بلغة البايثون.

هناك فيديو كنت قد نشرته على مجتمع iSecur1ty عن Volatility , ما يميز المشروع ان له مجتمع مطورين رائع وكذلك العدد من الاضافات  والتي تزداد كل يوم لتحليل الذاكره واستخراج المعلومات . تستطيع ان تكتب اضافة للمشروع تقوم باستخراج معلومات معينة  و استخدام الاضافة مع المشروع.

سوف اضع هنا اهم الاضافات الرائعه التي بضغطه زر تعطيك النتائج للمعلومات المطلوبه, اذا كنت قد شاهدت الفيديو الذي ذكرته سوف تلاحظ سهولة المشروع , هذا لا يعني ان ليس هناك امور متقدمه بالعكس المشروع جدا متقدم ويمكن ان تستخدمه بشكل احترافي لاستخراج ال shell codes و الملفات الخبيثه من الجهاز المصاب .

الإضافات :

  • cmdscan اضافه رائعه تمكن من معرفه الاوامر التي ادخلها المهاجم في سطر الاوامر لنظام وندوز (cmd.exe)
  • psscan اضافة تظهر لك العمليات الموجوده في النظام وتستطيع اكتشاف العمليات المخفيه والكثير من الامور
  • dlllist هذه الاضافة تظهر لك مكتبات الـ DLL المحملة لعملية معينه في النظام
  • iehistory تظهر لك كل ما يخص متصفح الاسكبلورير لنظام وندوز من تاريخ التصفح والكاش .. الخ
  • modules يظهر لك الموديول المحملة للكيرنل الخاصة بالنظام مفيده جدا لتحليل الـrookits
  • memdump تمكنك هذه الاضافه من تحميل بيانات من الذاكرة الى ملف وتنزله بشكل منفصل
  • connections تظهر لك كل الاتصالات من نوع TCP الي كانت شغاله اثناء اخذ صوره الذاكره من النظام
  • sockets تظهر لك كل الـ sockets الي مفعلة في النظام سواء TCP, UDP, RAW
  • shellbags تستخرج لك كل الـ shellbags من النظام , هناك فيديو قمت بعمله عن shellbags اتمنى تتطلع عليه
  • hivescan يظهر عنوان الذاكره الفيزيائي لhives الخاصة بالرجستري لما تتحمل الى الذاكره
  • Shimcache اضافة رائعه تظهر لك معلومات خاصة بالملفات التنفيذيه الخاصة بالبرامج ومساراتها وغيرها من المعلومات سوف احاول ان اشرحها بالتفصيل ان شاء الله
  • printkey اضافة مفيده لعرض القيم الخاصة بالـ hives الخاصه بالرجستري
  • Userassist تظهر لك عداد كم مرات اشتغل برنامج معين في النظام مثل كم مره اشتغل برنامج التورنت في جهاز المشتبه به
  • USBStor تظهر معلومات خااصة باجهزة اليو اس بي التي استخدمت مع النظام تسهل العمليه بدلا من استخراج المعلومات يدويا من الرجستري
  • Timeliner اضافة رائعه تقوم بعمل تسلسل زمني للكثير من احداث النظام التي يمكن استخراجها من الذاكره مثل تاريخ التصفح ووقت فتح البرامج وغيرها

هذه فقط بعض الاضافات  ما زال هناك الكثير والكثير من الاضافات وخاصة المتقدمه منها.

رأي واحد على “اضافات مفيدة في مشروع تحليل الذاكرة volatility”

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.