Entrenamiento RAM 3 con volatily part_2

FileScan puede encontrar: Archivos borrados en disco. Archivos abiertos ocultos por rootkits. Archivos cifrados BitLocker. Archivos del MBR.

El volcado obtenido con Memmap puede analizarse con: Nmap. strings y grep. Metasploit. Wireshark.

windows.registry.lsadump.Lsadump: Obtiene MFT. Obtiene certificados. Obtiene MBR. Obtiene secretos LSA desencriptados.

Volatility admite como tipo de volcado: RAW. Solo crashdump. Solo .mem. Solo .ram.

En Volatility 3, las tablas de símbolos: Se deben indicar siempre manualmente. Se detectan automáticamente. No existen. Son opcionales solo en Linux.

windows.envars.Envars obtiene: Variables del MBR. Variables del kernel. Variables de entorno del proceso. Variables del BIOS.

windows.verinfo.VerInfo: Muestra versión de BIOS. Muestra versión del MBR. Muestra versiones de Windows únicamente. Muestra información de versión de ejecutables y DLL.

windows.vadyarascan.VadYaraScan: Escanea hives. Escanea VAD con reglas YARA. Escanea drivers. Escanea MBR.

SvcDiff sirve para: Detectar hashes. Detectar DLL ocultas. Detectar servicios ocultos. Detectar VAD maliciosos.

windows.consoles.Consoles analiza: MFT. CONSOLE_INFORMATION. VAD nodes. Eventos EVTX.

El plugin que muestra información del SO es: windows.system.System. windows.os.Info. windows.info.Info. windows.kernel.Info.

El flag --include-corrupt: Elimina datos corruptos. Solo muestra datos válidos. Requiere perfil manual. Incluye datos parcialmente sobrescritos.

windows.psscan.PsScan: Busca hashes. Escanea procesos desde el pool. Lee el registro. Lista drivers.

windows.mftscan.MFTScan: Busca entradas MFT en memoria. Busca hashes. Busca servicios. Busca sockets.

windows.unloadedmodules.UnloadedModules: Muestra DLL ocultas. Muestra procesos muertos. Muestra MBR. Muestra modulos descargados.

DumpFiles añade extensiones: .dat, .img o .vacb. .sys únicamente. .dll únicamente. .exe únicamente.

windows.vadinfo.VadInfo: Lista DLL. Lista conexiones TCP. Lista regiones VAD y puede extraerlas. Lista procesos.

windows.dlldump.DllDump permite: Descargar RAM completa. Descargar DLL desde memoria. Descargar MBR. Descargar registro.

El uso común del análisis de registro incluye primero: Ejecutar mbrscan. Ejecutar pslist. Ejecutar netscan. Ejecutar hashdump, lsadump y cachedump.

windows.registry.hashdump.Hashdump: Obtiene hashes LanMan y NT. Obtiene SID. Obtiene drivers. Obtiene VAD.

La protección original de un VAD: Nunca existe. Siempre coincide. Puede diferir de la protección actual. Es irrelevante.

windows.registry.scheduled_tasks.ScheduledTasks: Obtiene drivers. Obtiene tareas programadas. Obtiene hashes. Obtiene VAD.

windows.registry.hivescan.HiveScan: Encuentra estructuras CMHIVE en memoria. Encuentra VAD. Encuentra DLL. Encuentra drivers.

windows.memmap.Memmap: Permite listar tareas programadas. Permite volcar la memoria de un proceso. Permite listar drivers. Permite listar SIDs.

windows.svclist.SvcList: Lista DLL. Lista drivers ocultos. Lista servicios del sistema. Lista usuarios.

windows.vadregexscan.VadRegExScan: Escanea procesos. Escanea drivers. Escanea MBR. Escanea VAD usando expresiones regulares.

windows.netscan.NetScan: Busca tareas programadas. Busca MFT. Busca endpoints TCP y UDP. Busca hashes NT.

windows.cmdscan.CmdScan: Solo funciona en Linux. Solo funciona en XP. Requiere perfil manual. Puede fallar en Windows 7 y versiones tempranas de Windows 10.

windows.pslist.PsList: Lista procesos desde la lista EPROCESS. Escanea el disco. Analiza VAD. Muestra conexiones de red.

windows.registry.hivelist.HiveList: Lista sockets. Lista drivers. Lista hives del registro en memoria. Lista tareas programadas.

El parámetro --dump sirve para: Modificar contenido. Extraer contenido a fichero. Eliminar contenido. Listar solo nombres.

La versión actual estable mencionada en el documento es: Volatility 2. Volatility 3. Volatility 4. Volatility NG.

windows.modscan.ModScan: Encuentra VAD. Encuentra drivers ocultos. Encuentra usuarios. Encuentra hashes.

La información de versión: Siempre es fiable. Es imposible de modificar. Solo existe en kernel. Puede ser falsificada por malware.

windows.dlllist.DllList: Lista drivers kernel. Lista DLL cargadas en procesos. Lista sockets. Lista hives.

windows.pstree.PsTree muestra procesos: Por hash. Por PID ordenado. En forma de árbol. Por usuario.

windows.getsids.GetSIDs obtiene: Claves privadas. Hashes NTLM. Identificadores de seguridad (SID). Tokens OAuth.

NtMajorVersion 6 y NtMinorVersion 1 corresponde a: Windows XP. Windows Vista. Windows 10. Windows 7.

windows.mftscan.ADS: Busca SIDs. Busca tareas. Busca VAD. Busca Alternate Data Streams.

windows.filescan.FileScan: Busca objetos FILE_OBJECT en memoria. Busca MBR. Busca hives. Busca servicios.

windows.handles.Handles permite analizar: Solo drivers. Solo conexiones TCP. Solo procesos. Objetos ejecutivos como ficheros y claves de registro.

ModScan encuentra drivers: Orden alfabético. En orden exacto de carga. En orden distinto al de carga. Orden por PID.

NetScan detecta: Drivers kernel. Claves registro. VAD. Listeners TCP y UDP.

windows.mbrscan.MBRScan: Escanea VAD. Escanea Master Boot Records. Escanea hives. Escanea procesos.

windows.dumpfiles.DumpFiles: Extrae ficheros cacheados desde VAD. Extrae drivers. Extrae hashes. Extrae procesos.