#الأمن_السيبراني
🛡️ كيفية إستخدام اداة Volatility في مجال التحليل الجنائي الرقمي ؟ 🕵🏻
أداة #Volatility هي أداة مفتوحة المصدر تُستخدم لتحليل ذاكرة النظام (RAM) لاستخراج المعلومات من الأنظمة المتأثرة بالبرمجيات الخبيثة أو للتحقيق في الحوادث الأمنية، تُعتبر أداة قوية في مجال 👇🏻 x.com
🛡️ كيفية إستخدام اداة Volatility في مجال التحليل الجنائي الرقمي ؟ 🕵🏻
أداة #Volatility هي أداة مفتوحة المصدر تُستخدم لتحليل ذاكرة النظام (RAM) لاستخراج المعلومات من الأنظمة المتأثرة بالبرمجيات الخبيثة أو للتحقيق في الحوادث الأمنية، تُعتبر أداة قوية في مجال 👇🏻 x.com
التحليل الجنائي الرقمي، حيث تتيح لمحللي الأمن الحصول على معلومات قيمة مثل العمليات الجارية، الشبكات المتصلة، والملفات المفتوحة.
📌 كيفية استخدام Volatility على نظام Kali Linux:
👇🏻
📌 كيفية استخدام Volatility على نظام Kali Linux:
👇🏻
1.تثبيت Volatility:
يمكنك تثبيت Volatility على Kali Linux باستخدام الأمر التالي:
sudo apt-get update
sudo apt-get install volatility
👇🏻
يمكنك تثبيت Volatility على Kali Linux باستخدام الأمر التالي:
sudo apt-get update
sudo apt-get install volatility
👇🏻
2. أخذ صورة من الذاكرة:
قبل استخدام Volatility، تحتاج إلى الحصول على صورة من ذاكرة النظام، يمكنك استخدام أدوات مثل `LiME` أو `DumpIt` لأخذ صورة من الذاكرة.
👇🏻
قبل استخدام Volatility، تحتاج إلى الحصول على صورة من ذاكرة النظام، يمكنك استخدام أدوات مثل `LiME` أو `DumpIt` لأخذ صورة من الذاكرة.
👇🏻
3. تحديد نوع نظام التشغيل:
بعد الحصول على صورة الذاكرة، يمكنك استخدام الأمر التالي لتحديد نوع نظام التشغيل (Windows، Linux، إلخ):
volatility -f <path_to_memory_image> imageinfo
👇🏻
بعد الحصول على صورة الذاكرة، يمكنك استخدام الأمر التالي لتحديد نوع نظام التشغيل (Windows، Linux، إلخ):
volatility -f <path_to_memory_image> imageinfo
👇🏻
4. تحليل العمليات:
يمكنك استخدام Volatility لاستخراج قائمة بالعمليات الجارية من صورة الذاكرة باستخدام الأمر التالي:
volatility -f <path_to_memory_image> --profile=<profile_name> pslist
استبدل `<profile_name>` بالملف الشخصي الذي حصلت عليه من الأمر `imageinfo`.
👇🏻
يمكنك استخدام Volatility لاستخراج قائمة بالعمليات الجارية من صورة الذاكرة باستخدام الأمر التالي:
volatility -f <path_to_memory_image> --profile=<profile_name> pslist
استبدل `<profile_name>` بالملف الشخصي الذي حصلت عليه من الأمر `imageinfo`.
👇🏻
🔥 مثال عملي:
افترض أنك حصلت على صورة ذاكرة من نظام Windows وتريد تحليل العمليات:
1.أخذ صورة الذاكرة:
لنفترض أنك أخذت صورة الذاكرة باسم `memory.dmp`.
2.تحديد نوع نظام التشغيل:
volatility -f memory.dmp imageinfo
👇🏻
افترض أنك حصلت على صورة ذاكرة من نظام Windows وتريد تحليل العمليات:
1.أخذ صورة الذاكرة:
لنفترض أنك أخذت صورة الذاكرة باسم `memory.dmp`.
2.تحديد نوع نظام التشغيل:
volatility -f memory.dmp imageinfo
👇🏻
3.تحليل العمليات:
volatility -f memory.dmp --profile=Win7SP1x64 pslist
هذا سيعطيك قائمة بالعمليات الجارية في تلك اللحظة، مما يمكن المحللين من تتبع الأنشطة المشبوهة أو البرامج الضارة.
👇🏻
volatility -f memory.dmp --profile=Win7SP1x64 pslist
هذا سيعطيك قائمة بالعمليات الجارية في تلك اللحظة، مما يمكن المحللين من تتبع الأنشطة المشبوهة أو البرامج الضارة.
👇🏻
⚠️ ملحوظة:
تأكد من أنك تعمل على صورة ذاكرة بدلاً من ذاكرة حية، حيث أن الحصول على معلومات من ذاكرة حية يعتبر أكثر تعقيدا ويحتاج إلى أذونات خاصة.
👇🏻
تأكد من أنك تعمل على صورة ذاكرة بدلاً من ذاكرة حية، حيث أن الحصول على معلومات من ذاكرة حية يعتبر أكثر تعقيدا ويحتاج إلى أذونات خاصة.
👇🏻
🛡️ للإنضمام لمجلد قناة وجروب كورسات الدرع الأخضر 👇🏻
t.me
🛡️ لجميع منصات الدرع الأخضر 👇🏻
greenarmor.link
🛡️ للإنضمام لبوت الدرع الأخضر للأمن السيبراني حيث تم تحديثه بوضع مسار كلاً من Red team🔴 و Blue team🔵 👇🏻
t.me
t.me
🛡️ لجميع منصات الدرع الأخضر 👇🏻
greenarmor.link
🛡️ للإنضمام لبوت الدرع الأخضر للأمن السيبراني حيث تم تحديثه بوضع مسار كلاً من Red team🔴 و Blue team🔵 👇🏻
t.me
جاري تحميل الاقتراحات...