Comandos de Volatility3

Banners

General

Intenta identificar posibles banners de Linux en una imagen

vol.py -f memoria.raw banners.Banners

Explicación:

  • Analiza la memoria en busca de banners de sistema
  • Útil para identificar versiones de sistemas operativos

Configwriter

General

Ejecuta los automagics y genera la configuración en el directorio de salida

vol.py -f memoria.raw configwriter.Configwriter

Explicación:

  • Genera archivos de configuración
  • Ayuda a documentar el análisis realizado

FrameworkInfo

General

Lista los componentes modulares de Volatility

vol.py -f memoria.raw frameworkinfo.FrameworkInfo

Explicación:

  • Muestra información sobre los componentes disponibles
  • Útil para verificar la instalación

ISFInfo

General

Determina información sobre los archivos ISF disponibles

vol.py -f memoria.raw isfinfo.IsfInfo

Explicación:

  • Muestra información sobre archivos ISF
  • Ayuda a verificar la configuración

Layerwriter

General

Ejecuta los automagics y escribe la capa primaria producida por el stacker

vol.py -f memoria.raw layerwriter.Layerwriter

Explicación:

  • Genera capas de memoria
  • Útil para análisis avanzado

Timeliner

General

Ejecuta plugins relacionados con información temporal

vol.py -f memoria.raw timeliner.Timeliner

Explicación:

  • Ordena resultados por tiempo
  • Ayuda a crear línea de tiempo de eventos

Bash History (Linux)

Linux

Recupera el historial de comandos bash de la memoria

vol.py -f memoria.raw linux.bash.Bash

Explicación:

  • Extrae el historial de comandos bash
  • Útil para análisis forense

Check AFInfo (Linux)

Linux

Verifica los punteros de función de protocolos de red

vol.py -f memoria.raw linux.check_afinfo.Check_afinfo

Explicación:

  • Analiza la integridad de los protocolos de red
  • Ayuda a detectar malware

Check Creds (Linux)

Linux

Verifica si hay procesos compartiendo estructuras de credenciales

vol.py -f memoria.raw linux.check_creds.Check_creds

Explicación:

  • Analiza credenciales compartidas
  • Ayuda a detectar compromisos de seguridad

Check IDT (Linux)

Linux

Verifica si la IDT ha sido alterada

vol.py -f memoria.raw linux.check_idt.Check_idt

Explicación:

  • Analiza la tabla de descriptores de interrupción
  • Detecta modificaciones maliciosas

Check Modules (Linux)

Linux

Compara la lista de módulos con la información de sysfs

vol.py -f memoria.raw linux.check_modules.Check_modules

Explicación:

  • Verifica módulos del kernel
  • Detecta módulos ocultos

Check Syscall (Linux)

Linux

Verifica la tabla de llamadas al sistema

vol.py -f memoria.raw linux.check_syscall.Check_syscall

Explicación:

  • Analiza llamadas al sistema
  • Detecta hooks maliciosos

ELFs (Linux)

Linux

Lista todos los archivos ELF mapeados en memoria

vol.py -f memoria.raw linux.elfs.Elfs

Explicación:

  • Muestra archivos ELF en memoria
  • Útil para análisis de binarios

Environment Variables (Linux)

Linux

Lista variables de entorno de los procesos

vol.py -f memoria.raw linux.envars.Envars

Explicación:

  • Muestra variables de entorno
  • Ayuda a entender el contexto de procesos

IOMem (Linux)

Linux

Genera salida similar a /proc/iomem

vol.py -f memoria.raw linux.iomem.IOMem

Explicación:

  • Muestra mapeo de memoria
  • Útil para análisis de hardware

Keyboard Notifiers (Linux)

Linux

Analiza la cadena de notificaciones del teclado

vol.py -f memoria.raw linux.keyboard_notifiers.Keyboard_notifiers

Explicación:

  • Analiza interceptores de teclado
  • Detecta keyloggers

Kernel Log (Linux)

Linux

Lee el buffer de registro del kernel

vol.py -f memoria.raw linux.kmsg.Kmsg

Explicación:

  • Muestra logs del kernel
  • Ayuda a diagnosticar problemas

Loaded Modules (Linux)

Linux

Lista módulos del kernel cargados

vol.py -f memoria.raw linux.lsmod.Lsmod

Explicación:

  • Muestra módulos cargados
  • Detecta módulos maliciosos

Open Files (Linux)

Linux

Lista archivos abiertos por procesos

vol.py -f memoria.raw linux.lsof.Lsof

Explicación:

  • Muestra archivos abiertos
  • Ayuda a entender actividad de archivos

Malware Find (Linux)

Linux

Busca código potencialmente inyectado

vol.py -f memoria.raw linux.malfind.Malfind

Explicación:

  • Detecta código inyectado
  • Ayuda a encontrar malware

Mount Info (Linux)

Linux

Lista puntos de montaje en espacios de nombres

vol.py -f memoria.raw linux.mountinfo.MountInfo

Explicación:

  • Muestra información de montaje
  • Ayuda a entender el sistema de archivos

Process Maps (Linux)

Linux

Lista mapeos de memoria de procesos

vol.py -f memoria.raw linux.proc.Maps

Explicación:

  • Muestra mapeos de memoria
  • Ayuda a analizar procesos

Process Arguments (Linux)

Linux

Lista argumentos de línea de comandos de procesos

vol.py -f memoria.raw linux.psaux.PsAux

Explicación:

  • Muestra argumentos de procesos
  • Ayuda a entender comportamiento

Process List (Linux)

Linux

Lista procesos en la imagen de memoria

vol.py -f memoria.raw linux.pslist.PsList

Explicación:

  • Muestra lista de procesos
  • Fundamental para análisis

Process Scan (Linux)

Linux

Busca procesos en la imagen de memoria

vol.py -f memoria.raw linux.psscan.PsScan

Explicación:

  • Encuentra procesos ocultos
  • Detecta procesos maliciosos

Process Tree (Linux)

Linux

Muestra árbol de procesos

vol.py -f memoria.raw linux.pstree.PsTree

Explicación:

  • Muestra jerarquía de procesos
  • Ayuda a entender relaciones

Socket Statistics (Linux)

Linux

Lista conexiones de red

vol.py -f memoria.raw linux.sockstat.Sockstat

Explicación:

  • Muestra conexiones de red
  • Ayuda a analizar comunicación

TTY Check (Linux)

Linux

Verifica dispositivos TTY por hooks

vol.py -f memoria.raw linux.tty_check.tty_check

Explicación:

  • Analiza dispositivos TTY
  • Detecta interceptores de terminal

Bash History (MacOS)

Mac

Recupera el historial de comandos bash

vol.py -f memoria.raw mac.bash.Bash

Explicación:

  • Extrae historial de bash
  • Útil para análisis forense

Check Syscall (MacOS)

Mac

Verifica la tabla de llamadas al sistema

vol.py -f memoria.raw mac.check_Syscall.Check_Syscall

Explicación:

  • Analiza llamadas al sistema
  • Detecta hooks maliciosos

Check Sysctl (MacOS)

Mac

Verifica manejadores de sysctl

vol.py -f memoria.raw mac.check_sysctl.Check_sysctl

Explicación:

  • Analiza configuración del sistema
  • Detecta modificaciones maliciosas

Check Trap Table (MacOS)

Mac

Verifica la tabla de trampas

vol.py -f memoria.raw mac.check_trap_table.Check_trap_table

Explicación:

  • Analiza tabla de trampas
  • Detecta interceptores

Network Interfaces (MacOS)

Mac

Lista información de interfaces de red

vol.py -f memoria.raw mac.ifconfig.Ifconfig

Explicación:

  • Muestra interfaces de red
  • Ayuda a analizar red

Kauth Listeners (MacOS)

Mac

Lista oyentes de kauth y su estado

vol.py -f memoria.raw mac.kauth_listeners.Kauth_listeners

Explicación:

  • Analiza oyentes de seguridad
  • Detecta modificaciones

Kauth Scopes (MacOS)

Mac

Lista ámbitos de kauth y su estado

vol.py -f memoria.raw mac.kauth_scopes.Kauth_scopes

Explicación:

  • Analiza ámbitos de seguridad
  • Ayuda a entender permisos

Kernel Events (MacOS)

Mac

Lista manejadores de eventos registrados

vol.py -f memoria.raw mac.kevents.Kevents

Explicación:

  • Muestra eventos del kernel
  • Ayuda a analizar comportamiento

List Files (MacOS)

Mac

Lista descriptores de archivos abiertos

vol.py -f memoria.raw mac.list_files.List_Files

Explicación:

  • Muestra archivos abiertos
  • Ayuda a entender actividad

Loaded Modules (MacOS)

Mac

Lista módulos del kernel cargados

vol.py -f memoria.raw mac.lsmod.Lsmod

Explicación:

  • Muestra módulos cargados
  • Detecta módulos maliciosos

Open Files (MacOS)

Mac

Lista descriptores de archivos abiertos

vol.py -f memoria.raw mac.lsof.Lsof

Explicación:

  • Muestra archivos abiertos
  • Ayuda a analizar actividad

Malware Find (MacOS)

Mac

Busca código potencialmente inyectado

vol.py -f memoria.raw mac.malfind.Malfind

Explicación:

  • Detecta código inyectado
  • Ayuda a encontrar malware

Mount (MacOS)

Mac

Muestra información de montaje

vol.py -f memoria.raw mac.mount.Mount

Explicación:

  • Muestra puntos de montaje
  • Ayuda a entender sistema de archivos

Network Statistics (MacOS)

Mac

Lista conexiones de red

vol.py -f memoria.raw mac.netstat.Netstat

Explicación:

  • Muestra conexiones de red
  • Ayuda a analizar comunicación

Process Maps (MacOS)

Mac

Lista rangos de memoria de procesos

vol.py -f memoria.raw mac.proc_maps.Maps

Explicación:

  • Muestra mapeos de memoria
  • Ayuda a analizar procesos

Process Arguments (MacOS)

Mac

Recupera argumentos de línea de comandos

vol.py -f memoria.raw mac.psaux.Psaux

Explicación:

  • Muestra argumentos de procesos
  • Ayuda a entender comportamiento

Process List (MacOS)

Mac

Lista procesos en la imagen de memoria

vol.py -f memoria.raw mac.pslist.PsList

Explicación:

  • Muestra lista de procesos
  • Fundamental para análisis

Process Tree (MacOS)

Mac

Muestra árbol de procesos

vol.py -f memoria.raw mac.pstree.Pstree

Explicación:

  • Muestra jerarquía de procesos
  • Ayuda a entender relaciones

Socket Filters (MacOS)

Mac

Enumera filtros de socket del kernel

vol.py -f memoria.raw mac.socket_filters.Socket_filters

Explicación:

  • Analiza filtros de red
  • Detecta interceptores

Timers (MacOS)

Mac

Verifica temporizadores del kernel

vol.py -f memoria.raw mac.timers.Timers

Explicación:

  • Analiza temporizadores
  • Detecta malware persistente

TrustedBSD (MacOS)

Mac

Verifica módulos TrustedBSD maliciosos

vol.py -f memoria.raw mac.trustedbsd.Trustedbsd

Explicación:

  • Analiza módulos de seguridad
  • Detecta compromisos

VFS Events (MacOS)

Mac

Lista procesos que filtran eventos del sistema de archivos

vol.py -f memoria.raw mac.ufsevents.VFSevents

Explicación:

  • Analiza eventos de archivos
  • Detecta interceptores

Big Pools (Windows)

Windows

Lista grandes grupos de memoria

vol.py -f memoria.raw windows.bigpools.BigPools

Explicación:

  • Muestra grupos grandes
  • Ayuda a analizar memoria

Callbacks (Windows)

Windows

Lista callbacks del kernel

vol.py -f memoria.raw windows.callbacks.Callbacks

Explicación:

  • Muestra callbacks
  • Detecta hooks maliciosos

Command Line (Windows)

Windows

Lista argumentos de línea de comandos

vol.py -f memoria.raw windows.cmdline.CmdLine

Explicación:

  • Muestra argumentos de procesos
  • Ayuda a entender comportamiento

Crash Info (Windows)

Windows

Lista información del volcado de memoria

vol.py -f memoria.raw windows.crashinfo.Crashinfo

Explicación:

  • Muestra información de crash
  • Ayuda a diagnosticar problemas

Device Tree (Windows)

Windows

Lista árbol de dispositivos

vol.py -f memoria.raw windows.devicetree.DeviceTree

Explicación:

  • Muestra árbol de dispositivos
  • Ayuda a analizar hardware

DLL List (Windows)

Windows

Lista DLLs cargadas

vol.py -f memoria.raw windows.dlllist.DllList

Explicación:

  • Muestra DLLs cargadas
  • Ayuda a analizar procesos

Driver IRP (Windows)

Windows

Lista IRPs de controladores

vol.py -f memoria.raw windows.driverirp.DriverIrp

Explicación:

  • Analiza IRPs de controladores
  • Ayuda a entender drivers

Driver Module (Windows)

Windows

Verifica controladores ocultos

vol.py -f memoria.raw windows.drivermodule.DriverModule

Explicación:

  • Detecta controladores ocultos
  • Ayuda a encontrar rootkits

Driver Scan (Windows)

Windows

Busca controladores en la memoria

vol.py -f memoria.raw windows.driverscan.DriverScan

Explicación:

  • Encuentra controladores
  • Detecta drivers maliciosos

Dump Files (Windows)

Windows

Extrae archivos en caché

vol.py -f memoria.raw windows.dumpfiles.DumpFiles

Explicación:

  • Extrae archivos
  • Ayuda a recuperar datos

Environment Variables (Windows)

Windows

Muestra variables de entorno

vol.py -f memoria.raw windows.envars.Envars

Explicación:

  • Muestra variables de entorno
  • Ayuda a entender contexto

File Scan (Windows)

Windows

Busca objetos de archivo

vol.py -f memoria.raw windows.filescan.Filescan

Explicación:

  • Encuentra archivos
  • Ayuda a recuperar datos

Get Service SIDs (Windows)

Windows

Lista SIDs de servicios

vol.py -f memoria.raw windows.getservicesids.GetServiceSIDs

Explicación:

  • Muestra SIDs de servicios
  • Ayuda a analizar permisos

Get SIDs (Windows)

Windows

Muestra SIDs de procesos

vol.py -f memoria.raw windows.getsids.GetSIDs

Explicación:

  • Muestra SIDs de procesos
  • Ayuda a analizar permisos

Handles (Windows)

Windows

Lista manejadores abiertos

vol.py -f memoria.raw windows.handles.Handles

Explicación:

  • Muestra manejadores
  • Ayuda a analizar recursos

Info (Windows)

Windows

Muestra detalles del sistema

vol.py -f memoria.raw windows.info.Info

Explicación:

  • Muestra información del sistema
  • Fundamental para análisis

Job Links (Windows)

Windows

Muestra información de trabajos

vol.py -f memoria.raw windows.joblinks.Joblinks

Explicación:

  • Muestra trabajos
  • Ayuda a entender procesos

LDR Modules (Windows)

Windows

Lista módulos cargados

vol.py -f memoria.raw windows.ldrmodules.LdrModules

Explicación:

  • Muestra módulos cargados
  • Ayuda a analizar procesos

Malware Find (Windows)

Windows

Busca código inyectado

vol.py -f memoria.raw windows.malfind.Malfind

Explicación:

  • Detecta código inyectado
  • Ayuda a encontrar malware

MBR Scan (Windows)

Windows

Busca registros de arranque maestro

vol.py -f memoria.raw windows.mbrscan.MBRScan

Explicación:

  • Analiza MBR
  • Detecta bootkits

Memory Map (Windows)

Windows

Muestra mapa de memoria

vol.py -f memoria.raw windows.memmap.Memmap

Explicación:

  • Muestra mapa de memoria
  • Ayuda a analizar memoria

Module Scan (Windows)

Windows

Busca módulos en memoria

vol.py -f memoria.raw windows.modscan.Modscan

Explicación:

  • Encuentra módulos
  • Detecta módulos ocultos

Modules (Windows)

Windows

Lista módulos del kernel

vol.py -f memoria.raw windows.modules.Modules

Explicación:

  • Muestra módulos del kernel
  • Ayuda a analizar sistema

Mutex Scan (Windows)

Windows

Busca mutexes

vol.py -f memoria.raw windows.mutantscan.MutantScan

Explicación:

  • Encuentra mutexes
  • Ayuda a analizar sincronización

Net Scan (Windows)

Windows

Busca objetos de red

vol.py -f memoria.raw windows.netscan.Netscan

Explicación:

  • Encuentra objetos de red
  • Ayuda a analizar red

Netstat (Windows)

Windows

Muestra conexiones de red

vol.py -f memoria.raw windows.netstat.NetStat

Explicación:

  • Muestra conexiones
  • Ayuda a analizar red

Pool Scanner (Windows)

Windows

Escáner genérico de grupos

vol.py -f memoria.raw windows.poolscanner.Poolscanner

Explicación:

  • Escanea grupos de memoria
  • Ayuda a encontrar objetos

Privileges (Windows)

Windows

Lista privilegios de procesos

vol.py -f memoria.raw windows.privileges.Privs

Explicación:

  • Muestra privilegios
  • Ayuda a analizar permisos

Process List (Windows)

Windows

Lista procesos

vol.py -f memoria.raw windows.pslist.PsList

Explicación:

  • Muestra procesos
  • Fundamental para análisis

Process Scan (Windows)

Windows

Busca procesos

vol.py -f memoria.raw windows.psscan.Psscan

Explicación:

  • Encuentra procesos ocultos
  • Detecta procesos maliciosos

Process Tree (Windows)

Windows

Muestra árbol de procesos

vol.py -f memoria.raw windows.pstree.PsTree

Explicación:

  • Muestra jerarquía
  • Ayuda a entender relaciones

Registry Certificates (Windows)

Windows

Lista certificados en el registro

vol.py -f memoria.raw windows.registry.certificates.Certificates

Explicación:

  • Muestra certificados
  • Ayuda a analizar seguridad

Registry Hive List (Windows)

Windows

Lista hives del registro

vol.py -f memoria.raw windows.registry.hivelist.Hivelist

Explicación:

  • Muestra hives
  • Ayuda a analizar registro

Registry Hive Scan (Windows)

Windows

Busca hives del registro

vol.py -f memoria.raw windows.registry.hivescan.Hivescan

Explicación:

  • Encuentra hives
  • Ayuda a analizar registro

Registry Print Key (Windows)

Windows

Lista claves del registro

vol.py -f memoria.raw windows.registry.printkey.PrintKey

Explicación:

  • Muestra claves
  • Ayuda a analizar configuración

UserAssist (Windows)

Windows

Muestra claves UserAssist

vol.py -f memoria.raw windows.registry.userassist.UserAssist

Explicación:

  • Muestra actividad de usuario
  • Ayuda a analizar comportamiento

Sessions (Windows)

Windows

Lista procesos con información de sesión

vol.py -f memoria.raw windows.sessions.Sessions

Explicación:

  • Muestra sesiones
  • Ayuda a analizar usuarios

Skeleton Key Check (Windows)

Windows

Busca signos de malware Skeleton Key

vol.py -f memoria.raw windows.skeleton_key_check.Skeleton_Key_Check

Explicación:

  • Detecta Skeleton Key
  • Ayuda a encontrar malware

SSDT (Windows)

Windows

Lista tabla de llamadas al sistema

vol.py -f memoria.raw windows.ssdt.SSDT

Explicación:

  • Muestra SSDT
  • Detecta hooks maliciosos

Statistics (Windows)

Windows

Lista estadísticas de memoria

vol.py -f memoria.raw windows.statistics.Statistics

Explicación:

  • Muestra estadísticas
  • Ayuda a analizar memoria

Strings (Windows)

Windows

Lee salida del comando strings

vol.py -f memoria.raw windows.strings.Strings

Explicación:

  • Analiza strings
  • Ayuda a encontrar datos

Symlink Scan (Windows)

Windows

Busca enlaces simbólicos

vol.py -f memoria.raw windows.symlinkscan.Symlinkscan

Explicación:

  • Encuentra enlaces
  • Ayuda a analizar sistema de archivos

VAD Info (Windows)

Windows

Lista rangos de memoria de procesos

vol.py -f memoria.raw windows.vadinfo.VadInfo

Explicación:

  • Muestra VADs
  • Ayuda a analizar memoria

VAD Walk (Windows)

Windows

Recorre árbol VAD

vol.py -f memoria.raw windows.vadwalk.Vadwalk

Explicación:

  • Analiza VADs
  • Ayuda a entender memoria

Version Info (Windows)

Windows

Lista información de versión de archivos PE

vol.py -f memoria.raw windows.verinfo.VerInfo

Explicación:

  • Muestra versiones
  • Ayuda a analizar binarios

Virtual Map (Windows)

Windows

Lista secciones mapeadas virtualmente

vol.py -f memoria.raw windows.virtmap.VirtMap

Explicación:

  • Muestra mapeos virtuales
  • Ayuda a analizar memoria