Volatility3

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

La compétence extracting-credentials-from-memory-dump aide à analyser des dumps mémoire Windows pour extraire des hachages NTLM, des secrets LSA, du matériel Kerberos et des jetons, à l’aide de workflows Volatility 3 et pypykatz. Elle est conçue pour la criminalistique numérique et la réponse à incident lorsque vous avez besoin de preuves solides, d’évaluer l’impact sur les comptes et d’obtenir des recommandations de remédiation à partir d’un dump valide.

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

analyzing-memory-dumps-with-volatility est une compétence Volatility 3 pour la criminalistique mémoire, le triage de malwares, l’analyse des processus cachés, des injections, de l’activité réseau et des identifiants dans des dumps RAM sous Windows, Linux ou macOS. Utilisez-la lorsque vous avez besoin d’un guide reproductible d’analyse de dumps mémoire avec Volatility pour la réponse à incident et l’analyse de malwares.

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

La skill de détection des techniques de malware fileless accompagne les workflows d’analyse de malwares pour enquêter sur les menaces sans fichier qui s’exécutent en mémoire via PowerShell, WMI, la réflexion .NET, des charges utiles résidant dans le registre et des LOLBins. Utilisez-la pour passer d’alertes suspectes à un triage étayé par des preuves, à des idées de détection et à des pistes de chasse à suivre.

conducting-memory-forensics-with-volatility vous aide à analyser des dumps RAM avec Volatility 3 pour repérer du code injecté, des processus suspects, des connexions réseau, du vol d’identifiants et une activité noyau cachée. C’est une compétence pratique de conducting-memory-forensics-with-volatility pour le triage en forensic numérique et en réponse à incident.

analyzing-heap-spray-exploitation aide à analyser l’exploitation par heap spray dans des dumps mémoire avec Volatility3. Il identifie les motifs de NOP sled, les allocations volumineuses suspectes, les zones d’atterrissage du shellcode et les indices VAD du processus pour les audits de sécurité, le triage de malware et la validation d’exploits.