🏅Résumé des plugins
Voici la syntaxe pour charger un module :
python3 vol.py -f <chemin_vers_image_mémoire> <système d'exploitation>.<module>Analyse des processus
pslist
Afficher les processus actifs.
pstree
Présenter les processus sous forme d'arborescence.
psscan
Analyser la mémoire pour détecter les processus masqués.
Analyse des fichiers et des connexions réseau
filescan
Rechercher les objets de fichier en mémoire.
handles
Afficher les handles ouverts par chaque processus.
netscan
Analyser la mémoire pour détecter les sockets réseau.
netstat
Identifier les connexions réseau présentes.
connections
Afficher les connexions réseau actives.
Analyse du registre et des modules
imageinfo
Fournit des informations de base sur l'image mémoire.
hivelist
Liste les hôtes de registre actuellement chargés en mémoire.
printkey
Affiche les sous-clés et les valeurs d'une clé de registre spécifique.
hivedump
Extrait un hôte de registre spécifique en mémoire pour une analyse ultérieure.
modscan
Recherche les modules dans l'espace utilisateur et le noyau.
driverirp
Affiche les opérations IRP (I/O Request Packet) manipulées par les pilotes.
callbacks
Affiche les callbacks enregistrés par les pilotes.
idt
Affiche la table de descripteurs d'interruption (IDT) actuelle.
apihooks
Recherche les hooks (accrochages) dans les fonctions système et utilisateur.
moddump
Extrait un module spécifique dans un fichier pour une analyse ultérieure.
handles
Affiche les handles ouverts par chaque processus.
filtrer les résultats, la commande grep peut être ajoutée à la fin de n'importe quelle commande de Volatility. Par exemple, | grep <mot-clé> pour filtrer les résultats contenant le mot-clé spécifié.
Last updated