Volatility para Análise de Memória voltado a identificação de Malware

Ementa do Treinamento

MÓDULOS

• Introdução
  1. Apresentação do professor
  2. Apresentação do Treinamento
• Coleta de Dump de Memória
  1. Coleta do Dump
  2. Exemplo com FTK Imager
  3. Exemplo com Magnet RAM Capture
  4. Exemplos de Dumps para Treino
• Configuração do Volatility3
  1. Configurando o Volatility (necessário baixar material)
• Análise de Dump com Volatility3
  1. Análise de DUMP de Memória
  2. Identificação do SO
  3. Identificação da árvore de Processo
  4. Identificação dos Processos no SO
  5. Identificação de Processos Ocultos no SO
  6. Realizar Dump de memória do processo e suas dll´s
  7. Realizar visualização de comandos via CMD pelo PID
  8. Obter as variáveis do sistema para cada processo
  9. Verificar se há Tokens de privilégios em serviços inesperados
  10. Verificar cada SSID de um processo
  11. Verificar arquivos chaves, threads, processos que possuem vínculos com o que está sendo analisado
  12. Análise das DLL´s vinculadas a um processo específico
  13. Dump das chaves UserAssist para verificar os programas executados
  14. Verificar serviços que estão sendo executados
  15. Verificar conexões de rede do Dump
  16. Lista todas as Hives disponíveis no sistema
  17. Lista as Hives disponíveis e as Subchaves
  18. Lista e procura arquivos disponíveis dentro do Dump
  19. Encontra código oculto e injetado nos processos
  20. Detecta ganchos IRP do driver (Hook IRP)
  21. Verificar endereço de chamada do sistema de endereços inesperados
  22. Verificar se o acesso do Threat é compartilhado
  23. Digitalizando com Yara para ver todas as regras de Malware de acordo com as do Github