Volatility merupakan framework untuk melakukan investigasi memory image dari Windows, Linux, atau Mac. Pada tulisan ini akan dijelaskan plugin-plugin pada volatility, salah satu tool yang digunakan pada digital forensic.

Plugin pada Volatility

Identifiaksi Awal

imageinfo: menyediakan informasi dasar, seperti sistem operasi (nama dan versi), ukuran RAM, serta tanggal dan waktu melakukan capture pada image memory

Mendeteksi Proses “Nakal” (Rogue Process)

pslist: menampilkan semua proses yang berjalan pada EPROCESS

psscan: melakukan scanning pada memori fisik (physical memory) untuk alokasi pool EPROCESS

pstree: menampilkan daftar proses dalam bentuk pohon (tree), yaitu induk proses dan anak proses (menggunakan EPROCESS linked list)

pstotal: membandingkan hasil dari psscan dan pslist. Lalu, memberikan output dalam bentuk grafik.

Menganalisis Objek Proses (Analyzing Process Object)

dlllist: menampilkan daftar DLL yang dipakai pada setiap proses.

getsids: menampilkan kepemilikan SID pada setiap proses.

handles: menampilkan daftar open handle pada setiap proses.

filescan: melakukan scanning pada memory untuk _FILE_OBJECT

mutantscan: melakukan scanning pada memori untuk mendapatkan informasi servis pada Windows.

svcscan: melakukan scanning pada memori untuk mendapatkan informasi servis pada Windows.

cmdscan: melakukan scanning pada buffer dari COMMAND_HISTORY

consoles: melakukan scanning pada output dari CONSOLE_INFORMATION

Artefak Jaringan (Network Artefact)

connections: menampilkan daftar koneksi TCP yang aktif dan terbuka pada Windows XP dan 2003.

connscan: melakukan scanning memori untuk mendapatkan koneksi TCP, termasuk yang tertutup atau tidak terhubung (unlinked), di Windows XP atau 2003.

sockets: menampilkan socket-socket yang aktif dan tersedia pada setiap protokol, di Windows XP atau 2003.

sockscan: melakukan scanning memori untuk mendapatkan socket, termasuk yang tertutup atau tidak terhubung (unlinked) pada setiap protokol, di Windows XP atau 2003.

netscan: melakukan fungsi dari plugin connections, connscan, sockets, dan sockscan untuk Windows Vista, 2008, dan Windows 7.

Penyisipan Kode (Code Injection)

malfind: mencari kode tersembunyi dan disisipkan (injected), dan men-dump bagian memori yang terpengaruh (affected).

ldrmodules: mendeteksi DLL yang tidak terhubung (unliked).

Pendeteksian Rootkit (Rootkit Detection)

psxview: menemukan proses tersembunyi melalui teknik cross-view

modscan: menemukan modul via scanning tag pada pool

apihooks: menemukan hubungan fungsi DLL (inline dan trampoline)

ssdt: menampilkan masukan tabel system service descriptor

driverirp: mengidentifikasi hubungan I/O request packet (IRP)

idt: menampilkan tabel interupt descriptor

Mendapatkan Proses dan Drivers

dlldump: melakukan dump DLL dari proses

moddump: melakukan dump kernel driver menjadi file sampel yang executable

procdump: melakukan dump sebuah proses menjadi file sampel yang executable

memdump: melakukan dump pada semua addresable memory untuk sebuah proses menjadi satu file

dumpfiles: mengekstrak file berdasarkan nama atau physical offset

filescan: melakukan scanning untuk _FILE_OBJECT

Analisis Registry dan Password

hivelist: menemukan dan menampilkan daftar hive registry yang tersedia

hivedump: menampilkan nama key yang tesedia pada hive secara rekursif

printkey: menampilkan registry key, subkey, dan value

hasdump: men-dump password hash (LM/NTLM) dari memori

mimikatz dump: menghapus test password dari proses lsass.exe

shimcache: menemukan dan mengurai application compability cache

userassist: mengurai user assist registry key