Volatility 3
merupakan alat populer untuk analisis memori forensik. Volatility merupakan framework open-source yang digunakan oleh peneliti keamanan, analis forensik, dan respon insiden untuk memeriksa dan mengekstrak artefak dari dump memori (memori RAM).
Install Volatility 3 on Windows 10/11
Klik Kunjungi
Volatility 3
Klik Downloads
Volatility 3 CHEATSHEET
Klik Kunjungi
Catatan Volatility 3 untuk Memory Analysis OS Windows
1. windows.bigpools.BigPools
Fungsi :Menampilkan alokasi memori besar yang digunakan oleh kernel.
Tujuan :Memahami penggunaan memori besar oleh kernel untuk mendeteksi anomali atau aktivitas mencurigakan.
2. windows.cachedump.Cachedump
Fungsi :Mengambil cache hash yang disimpan oleh LSA (Local Security Authority).
Tujuan :Memulihkan hash password dari cache untuk analisis forensik.
3. windows.callbacks.Callbacks
Fungsi :Menampilkan daftar callback yang terdaftar oleh kernel.
Tujuan :Memeriksa callback untuk mendeteksi rootkit atau malware yang mungkin bersembunyi di dalam sistem.
4. windows.cmdline.CmdLine
Fungsi :Menampilkan command line dari proses yang sedang berjalan.
Tujuan :Mengidentifikasi bagaimana proses dijalankan dan mendeteksi penggunaan yang mencurigakan.
5. windows.crashinfo.Crashinfo
Fungsi :Menampilkan informasi tentang crash dump.
Tujuan :Menganalisis crash dump untuk menentukan penyebab crash atau bug.
6. windows.devicetree.DeviceTree
Fungsi :Menampilkan pohon perangkat yang dikenali oleh kernel.
Tujuan :Memeriksa perangkat yang terhubung dan mendeteksi perangkat mencurigakan.
7. windows.dlllist.DllList
Fungsi :Menampilkan daftar DLL yang dimuat oleh proses.
Tujuan :Menganalisis DLL yang dimuat untuk mendeteksi injeksi DLL atau malware.
8. windows.driverirp.DriverIrp
Fungsi : Menampilkan I/O Request Packets (IRPs) yang digunakan oleh driver.
Tujuan : Menganalisis interaksi driver dan mendeteksi aktivitas yang mencurigakan.
9. windows.drivermodule.DriverModule
Fungsi :Menampilkan modul driver yang dimuat.
Tujuan :Memeriksa modul driver yang dimuat untuk mendeteksi rootkit atau driver berbahaya.
10. windows.driverscan.DriverScan
Fungsi :Memindai dan menampilkan driver yang diinstal di sistem.
Tujuan :Mengidentifikasi driver yang mencurigakan atau berbahaya.
11. windows.dumpfiles.DumpFiles
Fungsi :Mengekstrak file dari memori yang dump
Tujuan :Memulihkan file yang dapat digunakan sebagai bukti forensik.
12. windows.envars.Envars
Fungsi :Menampilkan variabel lingkungan dari proses.
Tujuan :Memeriksa variabel lingkungan untuk mendeteksi perubahan mencurigakan.
13. windows.filescan.FileScan
Fungsi :Memindai file yang dibuka di memori.
Tujuan :Mengidentifikasi file yang dibuka oleh proses untuk mendeteksi aktivitas berbahaya.
14. windows.getservicesids.GetServiceSIDs
Fungsi :Menampilkan Service SIDs.
Tujuan :Menganalisis SID layanan untuk keamanan.
15. windows.getsids.GetSIDs
Fungsi :Menampilkan SID dari proses.
Tujuan :Mengidentifikasi SID untuk memeriksa hak akses proses.
16. windows.handles.Handles
Fungsi :Menampilkan handle yang dibuka oleh proses.
Tujuan :Menganalisis handle untuk mendeteksi akses yang mencurigakan.
17. windows.hashdump.Hashdump
Fungsi :Memulihkan hash password dari memori.
Tujuan :Memulihkan hash untuk analisis keamanan.
18. windows.iat.IAT
Fungsi :Menampilkan Address Table (IAT) dari proses.
Tujuan :Menganalisis IAT untuk mendeteksi injeksi kode.
19. windows.info.Info
Fungsi :Menampilkan informasi dasar tentang sistem operasi.
Tujuan :Memperoleh informasi umum tentang OS yang berjalan di memori.
20. windows.joblinks.JobLinks
Fungsi :Menampilkan Job links dari proses.
Tujuan :Memeriksa hubungan antar proses dalam job object.
21. windows.ldrmodules.LdrModules
Fungsi :Menampilkan modul loader dari proses.
Tujuan :Menganalisis modul loader untuk mendeteksi injeksi kode.
22. windows.lsadump.Lsadump
Fungsi :Mengambil data LSA seperti hash password.
Tujuan :Memulihkan data keamanan untuk analisis forensik.
23. windows.malfind.Malfind
Fungsi :Memindai dan mendeteksi malware di memori.
Tujuan :Mengidentifikasi dan menganalisis malware yang berjalan.
24. windows.mbrscan.MBRScan
Fungsi :Memindai Master Boot Record (MBR)
Tujuan :Memeriksa MBR untuk mendeteksi bootkit atau malware.
25. windows.memmap.Memmap
Fungsi :Menampilkan peta memori dari proses.
Tujuan :Menganalisis alokasi memori proses untuk mendeteksi anomali.
26. Memindai Alternate Data Streams (ADS).
Fungsi :Memindai Alternate Data Streams (ADS).
Tujuan :Mengidentifikasi ADS untuk mendeteksi data tersembunyi.
27. windows.mftscan.MFTScan
Fungsi :Memindai Master File Table (MFT).
Tujuan :Menganalisis MFT untuk mendeteksi aktivitas file yang mencurigakan.
28. windows.modscan.ModScan
Fungsi :Memindai modul kernel.
Tujuan :Mengidentifikasi modul kernel untuk mendeteksi rootkit.
29. windows.modules.Modules
Fungsi :Menampilkan modul kernel yang dimuat.
Tujuan :Menganalisis modul kernel untuk mendeteksi anomali.
30. windows.mutantscan.MutantScan
Fungsi :Memindai objek mutant di memori.
Tujuan :Mendeteksi penggunaan objek mutant untuk sinkronisasi.
31. windows.netscan.NetScan
Fungsi :Memindai koneksi jaringan yang aktif.
Tujuan :Menganalisis koneksi jaringan untuk mendeteksi komunikasi mencurigakan.
32. windows.netstat.NetStat
Fungsi :Menampilkan statistik jaringan.
Tujuan :Memeriksa statistik jaringan untuk mendeteksi aktivitas jaringan yang mencurigakan.
33. windows.poolscanner.PoolScanner
Fungsi :Memindai pool memori kernel.
Tujuan :Mengidentifikasi alokasi pool untuk mendeteksi anomali.
34. windows.privileges.Privs
Fungsi :Menampilkan hak istimewa dari proses.
Tujuan :Menganalisis hak istimewa untuk mendeteksi eskalasi hak istimewa.
35. windows.pslist.PsList
Fungsi :Menampilkan daftar proses yang berjalan.
Tujuan :Memeriksa proses yang berjalan untuk mendeteksi aktivitas mencurigakan.
36. windows.psscan.PsScan
Fungsi :Memindai proses di memori.
Tujuan :Mengidentifikasi proses tersembunyi atau berbahaya.
37. windows.pstree.PsTree
Fungsi :Menampilkan pohon proses.
Tujuan :Memeriksa hubungan antar proses untuk mendeteksi aktivitas mencurigakan.
38. windows.registry.certificates.Certificates
Fungsi :Menampilkan sertifikat yang disimpan di registry.
Tujuan :Memeriksa sertifikat untuk mendeteksi yang mencurigakan atau tidak sah.
39. windows.registry.hivelist.HiveList
Fungsi :Menampilkan daftar hive registry.
Tujuan :Mengidentifikasi dan memeriksa hive registry untuk analisis forensik.
40. windows.registry.hivescan.HiveScan
Fungsi :Memindai hive registry di memori.
Tujuan :Mendeteksi hive registry tersembunyi.
41. windows.registry.printkey.PrintKey
Fungsi :Menampilkan nilai dari kunci registry.
Tujuan :Memeriksa kunci registry untuk mendeteksi perubahan mencurigakan.
42. windows.registry.userassist.UserAssist
Fungsi :Menampilkan nilai UserAssist dari registry.
Tujuan :Menganalisis nilai UserAssist untuk memahami aktivitas pengguna.
43. windows.sessions.Sessions
Fungsi :Menampilkan sesi yang sedang aktif.
Tujuan :Memeriksa sesi aktif untuk mendeteksi login yang mencurigakan.
44. windows.skeleton_key_check.Skeleton_Key_Check
Fungsi :Memeriksa kunci kerangka pada LSA.
Tujuan :Mendeteksi penggunaan kunci kerangka oleh malware.
45. windows.ssdt.SSDT
Fungsi :Menampilkan Service Descriptor Table (SSDT).
Tujuan :Memeriksa SSDT untuk mendeteksi hooking oleh rootkit.
46. windows.statistics.Statistics
Fungsi :Menampilkan statistik sistem.
Tujuan :Memahami penggunaan sumber daya sistem untuk mendeteksi anomali.
47. windows.strings.Strings
Fungsi :Mengekstrak string dari memori.
Tujuan :Menganalisis string untuk mendeteksi informasi sensitif atau indikasi malware.
48. windows.svcscan.SvcScan
Fungsi :Memindai layanan yang terdaftar di sistem.
Tujuan :Mengidentifikasi layanan yang mencurigakan atau berbahaya.
49. windows.symlinkscan.SymlinkScan
Fungsi :Memindai simbolik link di memori.
Tujuan :Mendeteksi simbolik link yang digunakan oleh malware.
50. windows.thrdscan.ThrdScan
Fungsi :Memindai thread di memori.
Tujuan :Mendeteksi thread tersembunyi atau berbahaya.
51. windows.truecrypt.Passphrase
Fungsi :Memulihkan passphrase TrueCrypt.
Tujuan :Memulihkan passphrase untuk analisis forensik.
52. windows.vadinfo.VadInfo
Fungsi :Menampilkan informasi Virtual Address Descriptors (VAD).
Tujuan :Menganalisis VAD untuk mendeteksi injeksi kode.
53. windows.vadwalk.VadWalk
Fungsi :Memeriksa semua VAD yang ada.
Tujuan :Mendeteksi VAD mencurigakan yang digunakan oleh malware.
54. windows.vadyarascan.VadYaraScan
Fungsi :Memindai VAD menggunakan aturan Yara.
Tujuan :Mendeteksi malware berdasarkan aturan Yara.
55. windows.verinfo.VerInfo
Fungsi :Menampilkan informasi versi dari sistem operasi.
Tujuan :Memeriksa versi OS untuk memastikan kompatibilitas analisis.
55. windows.virtmap.VirtMap
Fungsi :Menampilkan peta memori virtual.
Tujuan :Menganalisis peta memori untuk mendeteksi anomali alokasi memori.
link File Kunjungi
1. Sistem operasi apa yang digunakan pada memori itu?
Command : python vol.py -f ram.vmem windows.info
NTBuildLab : 7601.24214.amd64fre.win7sp1_ldr_ Is64Bit :True
Jawaban win7sp1x64
2. Apa nama berkas berbahaya dalam memori?
Command : python vol.py -f ram.vmem windows.info
Terdapat File yang mencurigakan C:\Users\lksn\Desktop\softwareupdateyeyy.exe
Jawaban : softwareupdateyeyy.exe
3. Apa PID berkas itu?
Command : python vol.py -f ram.vmem windows.pslist | Select-String softwareupdate
Jawaban : 3004
4. Kumpulan Registri mana yang berisi kata sandi OS logon?
Command : python vol.py -f ram.vmem indows.registry.hivescan
Command : python vol.py -f ram.vmem windows.registry.printkey --offset [Offset]
Command : python vol.py -f ram.vmem windows.handles --pid 3004
Command : python vol.py -f ram.vmem windows.handles --pid 3004 | Select-String File | More
Command : python vol.py -f ram.vmem windows.handles --pid 3004 | Select-String Key | More
Command : python vol.py -f ram.vmem windows.pslist | Select-String softwareupdate
Command : python vol.py -f ram.vmem windows.handles --pid 3004 | Select-String file | Select-String history | More
Command : python vol.py -f ram.vmem windows.registry.hivelist
Command : python vol.py -f ram.vmem windows.registry.printkey --offset [Offset]
Jawaban : \REGISTRY\MACHINE\SYSTEM dan \SystemRoot\System32\Config\SAM
5. Buang hash pengguna lksn dan dekripsi kata sandinya!
Command : python vol.py -f ram.vmem windows.hashdump
Copy nthash User Iksan dan pergi ke Website crackstation
Jawaban : happybirthday
link CTF Kunjungi