Volatility: Plugin dan Penjelasannya
Volatility merupakan framework untuk melakukan investigasi memory image dari Windows, Linux, atau Mac. Pada tulisan ini akan dijelaskan plugin-plugin pada volatility, salah satu tool yang digunakan pada digital forensic.
Plugin pada Volatility
Identifiaksi Awal
imageinfo: menyediakan informasi dasar, seperti sistem operasi (nama dan versi), ukuran RAM, serta tanggal dan waktu melakukan capture pada image memory
Mendeteksi Proses “Nakal” (Rogue Process)
pslist: menampilkan semua proses yang berjalan pada EPROCESS
psscan: melakukan scanning pada memori fisik (physical memory) untuk alokasi pool EPROCESS
pstree: menampilkan daftar proses dalam bentuk pohon (tree), yaitu induk proses dan anak proses (menggunakan EPROCESS linked list)
pstotal: membandingkan hasil dari psscan dan pslist. Lalu, memberikan output dalam bentuk grafik.
Menganalisis Objek Proses (Analyzing Process Object)
dlllist: menampilkan daftar DLL yang dipakai pada setiap proses.
getsids: menampilkan kepemilikan SID pada setiap proses.
handles: menampilkan daftar open handle pada setiap proses.
filescan: melakukan scanning pada memory untuk _FILE_OBJECT
mutantscan: melakukan scanning pada memori untuk mendapatkan informasi servis pada Windows.
svcscan: melakukan scanning pada memori untuk mendapatkan informasi servis pada Windows.
cmdscan: melakukan scanning pada buffer dari COMMAND_HISTORY
consoles: melakukan scanning pada output dari CONSOLE_INFORMATION
Artefak Jaringan (Network Artefact)
connections: menampilkan daftar koneksi TCP yang aktif dan terbuka pada Windows XP dan 2003.
connscan: melakukan scanning memori untuk mendapatkan koneksi TCP, termasuk yang tertutup atau tidak terhubung (unlinked), di Windows XP atau 2003.
sockets: menampilkan socket-socket yang aktif dan tersedia pada setiap protokol, di Windows XP atau 2003.
sockscan: melakukan scanning memori untuk mendapatkan socket, termasuk yang tertutup atau tidak terhubung (unlinked) pada setiap protokol, di Windows XP atau 2003.
netscan: melakukan fungsi dari plugin connections, connscan, sockets, dan sockscan untuk Windows Vista, 2008, dan Windows 7.
Penyisipan Kode (Code Injection)
malfind: mencari kode tersembunyi dan disisipkan (injected), dan men-dump bagian memori yang terpengaruh (affected).
ldrmodules: mendeteksi DLL yang tidak terhubung (unliked).
Pendeteksian Rootkit (Rootkit Detection)
psxview: menemukan proses tersembunyi melalui teknik cross-view
modscan: menemukan modul via scanning tag pada pool
apihooks: menemukan hubungan fungsi DLL (inline dan trampoline)
ssdt: menampilkan masukan tabel system service descriptor
driverirp: mengidentifikasi hubungan I/O request packet (IRP)
idt: menampilkan tabel interupt descriptor
Mendapatkan Proses dan Drivers
dlldump: melakukan dump DLL dari proses
moddump: melakukan dump kernel driver menjadi file sampel yang executable
procdump: melakukan dump sebuah proses menjadi file sampel yang executable
memdump: melakukan dump pada semua addresable memory untuk sebuah proses menjadi satu file
dumpfiles: mengekstrak file berdasarkan nama atau physical offset
filescan: melakukan scanning untuk _FILE_OBJECT
Analisis Registry dan Password
hivelist: menemukan dan menampilkan daftar hive registry yang tersedia
hivedump: menampilkan nama key yang tesedia pada hive secara rekursif
printkey: menampilkan registry key, subkey, dan value
hasdump: men-dump password hash (LM/NTLM) dari memori
mimikatz dump: menghapus test password dari proses lsass.exe
shimcache: menemukan dan mengurai application compability cache
userassist: mengurai user assist registry key