Volatility3

detecting-rootkit-activity là một skill Phân tích Phần mềm độc hại giúp tìm các dấu hiệu rootkit như tiến trình ẩn, system call bị hook, cấu trúc kernel bị sửa đổi, module ẩn và các dấu vết mạng bí mật. Skill này dùng đối chiếu đa nguồn và kiểm tra tính toàn vẹn để hỗ trợ xác thực các máy chủ đáng ngờ khi các công cụ tiêu chuẩn cho kết quả không nhất quán.

Kỹ năng extracting-credentials-from-memory-dump hỗ trợ phân tích các memory dump của Windows để tìm NTLM hash, LSA secret, dữ liệu Kerberos và token bằng quy trình Volatility 3 và pypykatz. Kỹ năng này phù hợp cho Digital Forensics và ứng phó sự cố khi bạn cần bằng chứng có thể bảo vệ được, đánh giá mức độ ảnh hưởng tới tài khoản và hướng dẫn khắc phục từ một dump hợp lệ.

detecting-process-injection-techniques giúp phân tích hoạt động bất thường trong bộ nhớ, xác thực cảnh báo EDR, và nhận diện process hollowing, APC injection, thread hijacking, reflective loading, cùng DLL injection cổ điển cho kiểm toán bảo mật và sàng lọc malware.

analyzing-memory-dumps-with-volatility là một skill Volatility 3 dành cho phân tích bộ nhớ (memory forensics), sàng lọc mã độc, rà soát process ẩn, injection, hoạt động mạng và thông tin đăng nhập trong RAM dump trên Windows, Linux hoặc macOS. Hãy dùng nó khi bạn cần một hướng dẫn phân tích memory dumps với Volatility có thể lặp lại cho ứng phó sự cố và phân tích mã độc.

analyzing-linux-kernel-rootkits giúp các quy trình DFIR và săn lùng mối đe dọa phát hiện rootkit kernel Linux bằng các kiểm tra cross-view với Volatility3, quét rkhunter, và phân tích /proc so với /sys để tìm module ẩn, syscall bị hook, và cấu trúc kernel bị can thiệp. Đây là một hướng dẫn phân tích analyzing-linux-kernel-rootkits thực dụng cho sàng lọc pháp chứng ban đầu.

Kỹ năng detecting-fileless-malware-techniques hỗ trợ các quy trình Malware Analysis để điều tra mã độc fileless chạy trong bộ nhớ qua PowerShell, WMI, .NET reflection, payload nằm trong registry và LOLBins. Hãy dùng kỹ năng này để chuyển từ các cảnh báo đáng ngờ sang bước sàng lọc có bằng chứng, ý tưởng phát hiện và truy tìm tiếp theo.

conducting-memory-forensics-with-volatility giúp bạn phân tích các bản dump RAM bằng Volatility 3 để phát hiện mã chèn vào bộ nhớ, tiến trình đáng ngờ, kết nối mạng, hành vi đánh cắp thông tin xác thực và hoạt động kernel ẩn. Đây là một kỹ năng conducting-memory-forensics-with-volatility thực dụng cho Digital Forensics và triage ứng phó sự cố.

analyzing-heap-spray-exploitation giúp phân tích khai thác heap spray trong memory dump bằng Volatility3. Skill này nhận diện mẫu NOP sled, các vùng cấp phát lớn đáng ngờ, vùng đáp của shellcode và bằng chứng VAD của tiến trình, phù hợp cho Security Audit, sàng lọc malware và xác thực exploit.