Memory Forensics с Volatility

MC-11 · Мини-курс

Анализ дампов памяти с Volatility 3: процессы, сети, инжекции, малварь и криминалистические артефакты.

12 уроков3 модуляПродвинутыйVolatility 3 + YARA

Начать обучение ← Все курсы

vol3 — memory forensics

$ vol3 -f memory.raw windows.malfind

Volatility 3 Framework 2.4.1

PID Process Start Protection

1337 svchost.exe 0x7ff000 PAGE_EXEC_RW

Injected shellcode detected!

856 explorer 0x3a0000 PAGE_EXEC_RW

Suspicious memory region

$ █

+150 XP

Почему это важно прямо сейчас

Fileless малварь не оставляет следов на диске

40%современного малваря работает только в памяти (fileless)

Volatility#1 инструмент memory forensics в мире

60 секдля обнаружения инжекции с malfind плагином

RAMхранит артефакты даже после перезагрузки (гибернация)

После курса вы сможете

Не абстрактные знания — конкретные навыки для DFIR и анализа малваря

🧠Создашь дамп памяти с помощью FTK Imager и WinPmem

🔍Проанализируешь список процессов и выявишь аномалии в pslist/pstree

💉Обнаружишь DLL Injection и Process Hollowing через malfind

🌐Исследуешь активные сетевые соединения процессов с netscan

🦠Сканируешь дамп памяти YARA правилами для поиска малваря

📁Извлечёшь файлы и артефакты прямо из дампа памяти

🔎Определишь rootkit-техники сокрытия в памяти

📝Составишь криминалистический отчёт по анализу памяти

Реальные атаки в курсе

Анализируем реальные APT инциденты — только memory forensics помог раскрыть их

APT2010

Stuxnet 2010 — первый fileless компонент

Stuxnet содержал компонент, работавший исключительно в памяти. Его обнаружение стало возможным только через анализ RAM. Первый известный fileless малварь государственного уровня.

Модуль 03 · malfind и fileless малварь

APT2015

Duqu 2.0 — только memory forensics

Kaspersky обнаружил Duqu 2.0 исключительно через анализ памяти — на диске не было никаких следов. Малварь загружался только в RAM через zero-day уязвимости.

Модуль 01 · RAM как источник доказательств

DFIR2022

Mandiant: APT в svchost.exe

Аналитики Mandiant обнаружили APT-инжекцию в процесс svchost.exe через Volatility malfind. Инжекция не оставила следов на диске — только в памяти.

Модуль 02 · DLL Injection обнаружение

Программа курса

3 модуля · 12 уроков: от дампа памяти до обнаружения fileless малваря

Куда ведёт этот курс

Memory Forensics — ключевой навык для малварь-аналитика и DFIR специалиста

$4 000 — $10 000 / мес

Малварь-аналитик

Анализируешь вредоносный код через память, находишь C2 адреса и механизмы персистентности. Один из самых высокооплачиваемых специалистов ИБ.

Volatility 3YARAmalfindFileless malware

Трек:FC-07 → MC-11 → MC-12

$5 000 — $12 000 / мес

DFIR специалист

Расследуешь инциденты, проводишь криминалистический анализ памяти, восстанавливаешь хронологию атаки и готовишь судебные доказательства.

Memory ForensicsVolatilityDFIRIncident Response

Трек:FC-07 → MC-10 → MC-11

$4 000 — $9 000 / мес

Threat Hunter

Используешь memory forensics для проактивного поиска APT-активности в корпоративных системах. Находишь fileless малварь раньше, чем он нанесёт ущерб.

Threat HuntingVolatilityYARAAPT analysis

Трек:MC-11 → FC-07 → MC-12

Для кого этот курс

🦠

Малварь-аналитики

Хотите анализировать fileless малварь и APT-угрозы, которые не оставляют следов на диске.

🔍

DFIR специалисты

Расследуете инциденты и нужен систематический подход к анализу памяти для восстановления атаки.

🎯

Threat Hunters

Хотите добавить memory forensics в арсенал для проактивного поиска APT-активности в сети.

Найди малварь
прямо в RAM
уже сегодня

12 уроков, Volatility 3 и YARA. Обнаруживай fileless малварь, который не оставляет следов на диске.

Начать обучение ← Все курсы

MC-11● Мини-курс

Уровень: продвинутый

12 уроков

видео + практика

3 модуля

по темам

Продвинутый

уровень сложности

Volatility + YARA

основные инструменты

malfind: обнаружение инжекций в RAM

DLL Injection и Process Hollowing

YARA сканирование дампов памяти

Реальные APT: Stuxnet, Duqu 2.0