Volatility 3 명령어 정리

Core / Framework

• banners.Banners — 메모리 이미지에서 Linux 커널 banner(버전 문자열) 후보를 탐색/식별할 때 사용
• configwriter.ConfigWriter — automagic 실행 후 구성(config) 출력/저장(재현·자동화·반복 분석용)
• frameworkinfo.FrameworkInfo — Volatility 프레임워크의 구성요소/모듈 정보 확인(환경 점검/디버깅)
• isfinfo.IsfInfo — 사용 가능한 ISF(심볼 JSON) 파일 정보/메타데이터 확인
• layerwriter.LayerWriter — automagic/stacker가 만든 primary layer를 파일로 덤프(레이어 재사용/검증)

---

Linux

• linux.bash.Bash — 메모리에서 bash 명령 이력(history) 복구
• linux.boottime.Boottime — 부팅 시간/시스템 시작 시각 확인
• linux.capabilities.Capabilities — 프로세스별 Linux capability(CAP_*) 확인(권한 분석)
• linux.check_afinfo.Check_afinfo — 네트워크 프로토콜(AFINFO) 함수 포인터 훅/변조 여부 점검
• linux.check_creds.Check_creds — 프로세스 간 credential 구조 공유 여부 점검(cred hijack 단서)
• linux.check_idt.Check_idt — IDT 변경/후킹 여부 점검
• linux.check_modules.Check_modules — 모듈 리스트와 sysfs(/sys/modules) 등 정보 불일치 점검(은닉 모듈 단서)
• linux.check_syscall.Check_syscall — syscall table 후킹/변조 점검
• linux.ebpf.EBPF — eBPF 프로그램/맵 등 eBPF 오브젝트 열거(커널 관찰/후킹 단서)
• linux.elfs.Elfs — 프로세스별 메모리 매핑된 ELF(바이너리/라이브러리) 목록 확인
• linux.envars.Envars — 프로세스 환경변수(Environment variables) 확인
• linux.graphics.fbdev.Fbdev — fbdev 프레임버퍼 추출(콘솔/화면 내용 확보)
• linux.hidden_modules.Hidden_modules — 메모리 carving으로 숨겨진 커널 모듈 탐색
• linux.iomem.IOMem — /proc/iomem 유사 메모리/IO 맵 정보 확인
• linux.ip.Addr — ip addr 수준의 인터페이스 주소 정보 확인
• linux.ip.Link — ip link 수준의 인터페이스 링크 정보 확인
• linux.kallsyms.Kallsyms — kallsyms 커널 심볼 열거
• linux.keyboard_notifiers.Keyboard_notifiers — keyboard notifier 체인(콜백) 파싱(키로깅/후킹 단서)
• linux.kmsg.Kmsg — 커널 로그 버퍼(kmsg/dmesg) 확인
• linux.kthreads.Kthreads — 커널 스레드(kthread) 및 관련 함수/엔트리 확인
• linux.library_list.LibraryList — 프로세스에 로드된 공유 라이브러리 목록 확인
• linux.lsmod.Lsmod — 로드된 커널 모듈 목록(lsmod) 확인
• linux.lsof.Lsof — 프로세스별 열린 파일(파일 디스크립터) 확인(lsof)
• linux.malfind.Malfind — 주입(injection) 의심 메모리 영역 탐지(권한/패턴 기반)
• linux.malware.check_afinfo.Check_afinfo — (동일 계열) 네트워크 프로토콜(AFINFO) 훅/변조 점검 (malware 네임스페이스로 이동된 경우)
• linux.malware.check_creds.Check_creds — (동일 계열) cred 공유/이상 징후 점검 (malware 네임스페이스)
• linux.malware.check_idt.Check_idt — (동일 계열) IDT 훅/변조 점검 (malware 네임스페이스)
• linux.malware.check_modules.Check_modules — (동일 계열) 모듈 은닉/불일치 점검 (malware 네임스페이스)
• linux.malware.check_syscall.Check_syscall — (동일 계열) syscall table 훅 점검 (malware 네임스페이스)
• linux.malware.hidden_modules.Hidden_modules — (동일 계열) 숨김 커널 모듈 carving (malware 네임스페이스)
• linux.malware.keyboard_notifiers.Keyboard_notifiers — (동일 계열) 키보드 notifier 체인 분석 (malware 네임스페이스)
• linux.malware.malfind.Malfind — (동일 계열) 주입 의심 영역 탐지 (malware 네임스페이스)
• linux.malware.modxview.Modxview — (동일 계열) 모듈 관점 통합 비교(ModXView) (malware 네임스페이스)
• linux.malware.netfilter.Netfilter — (동일 계열) netfilter hook 열거 (malware 네임스페이스)
• linux.malware.tty_check.Tty_Check — (동일 계열) tty 디바이스 훅 점검 (malware 네임스페이스)
• linux.module_extract.ModuleExtract — 커널 메모리 특정 주소에서 모듈/ELF 재구성·추출
• linux.modxview.Modxview — lsmod/scan/hidden 등 결과를 통합 비교해 모듈 은닉 탐지 보조
• linux.mountinfo.MountInfo — 프로세스의 mount namespace 기준 mount point 열거
• linux.netfilter.Netfilter — netfilter hook 열거(네트워크 후킹/필터 단서)
• linux.pagecache.Files — 페이지 캐시 기반 파일 목록/아티팩트 확인
• linux.pagecache.InodePages — 페이지 캐시의 inode 페이지 열거 및 복구(파일 내용 복구)
• linux.pagecache.RecoverFs — 페이지 캐시 기반 파일시스템 복구(아카이브 형태)
• linux.pidhashtable.PIDHashTable — PID 해시테이블 기반 프로세스 열거(리스트 워킹 우회 탐지)
• linux.proc.Maps — /proc/<pid>/maps 수준의 메모리 매핑을 프로세스별로 출력
• linux.psaux.PsAux — ps aux 수준 프로세스/커맨드라인 인자 출력
• linux.pscallstack.PsCallStack — task별 콜스택/스택 흔적 열거(후킹/루트킷 분석 보조)
• linux.pslist.PsList — 프로세스 리스트 출력(리스트 워킹 기반)
• linux.psscan.PsScan — 메모리 스캔으로 프로세스 오브젝트 탐색(숨김/종료 흔적 포함)
• linux.pstree.PsTree — 부모-자식 관계 기반 프로세스 트리 출력
• linux.ptrace.Ptrace — ptrace tracer/tracee 관계 열거(디버깅/주입 단서)
• linux.sockstat.Sockstat — 프로세스별 네트워크 연결/소켓 열거
• linux.tracing.ftrace.CheckFtrace — ftrace 기반 훅/트레이싱 변조 탐지
• linux.tracing.perf_events.PerfEvents — 프로세스별 perf event 오브젝트 열거
• linux.tracing.tracepoints.CheckTracepoints — tracepoints 훅/변조 탐지
• linux.tty_check.tty_check — tty 디바이스 훅 점검
• linux.vmaregexscan.VmaRegExScan — 프로세스 VMA에서 정규식 패턴 스캔
• linux.vmayarascan.VmaYaraScan — 프로세스 VMA에서 YARA 룰 스캔
• linux.vmcoreinfo.VMCoreInfo — VMCoreInfo 테이블 열거(커널 메타정보 확인)

---

macOS

• mac.bash.Bash — 메모리에서 bash 명령 이력 복구
• mac.check_syscall.Check_syscall — syscall table 훅 점검
• mac.check_sysctl.Check_sysctl — sysctl handler 훅 점검
• mac.check_trap_table.Check_trap_table — Mach trap table 훅 점검
• mac.dmesg.Dmesg — 커널 로그 버퍼 출력
• mac.ifconfig.Ifconfig — 네트워크 인터페이스 정보(ifconfig) 출력
• mac.kauth_listeners.Kauth_listeners — Kauth listener 목록/상태 출력(권한·FS 훅 단서)
• mac.kauth_scopes.Kauth_scopes — Kauth scope 목록/상태 출력
• mac.kevents.Kevents — 프로세스가 등록한 이벤트 핸들러(kqueue/kevent) 열거
• mac.list_files.List_Files — 모든 프로세스의 열린 파일 디스크립터 열거
• mac.lsmod.Lsmod — 로드된 커널 모듈 열거
• mac.lsof.Lsof — (list_files와 유사) 열린 파일 디스크립터 열거
• mac.malfind.Malfind — 주입 의심 메모리 영역 탐지
• mac.mount.Mount — macOS mount에서 보는 유형의 마운트/파일시스템 정보 출력
• mac.netstat.Netstat — 모든 프로세스의 네트워크 연결 열거(netstat)
• mac.proc_maps.Maps — 프로세스별 메모리 매핑(proc maps) 출력(범위/권한 등)
• mac.psaux.Psaux — 커맨드라인 인자 복구
• mac.pslist.PsList — 프로세스 리스트 출력
• mac.pstree.PsTree — 프로세스 트리 출력
• mac.socket_filters.Socket_filters — 커널 socket filter 열거(네트워크 후킹 단서)
• mac.timers.Timers — 악성 커널 타이머 존재/이상 여부 점검
• mac.trustedbsd.Trustedbsd — TrustedBSD 모듈/정책 악성 징후 점검
• mac.vfsevents.VFSevents — 파일시스템 이벤트 필터/감시 중인 프로세스/핸들러 열거

---

Generic Scan / Timeline

• regexscan.RegExScan — 메모리에서 정규식 기반 패턴 스캔
• timeliner.Timeliner — 시간 관련 아티팩트를 수집해 타임라인으로 정렬 출력
• vmscan.Vmscan — Intel VT-d 구조체 스캔 및 VM volatility config 생성

---

Windows

• windows.amcache.Amcache — AmCache 기반 실행 앱 정보 추출 (deprecated일 수 있어 registry 경로 사용 권장)
• windows.bigpools.BigPools — big page pool 목록 출력
• windows.callbacks.Callbacks — 커널 callbacks/notification routines 열거(EDR/루트킷 단서)
• windows.cmdline.CmdLine — 프로세스 커맨드라인 인자 출력
• windows.cmdscan.CmdScan — Windows command history 리스트 탐색
• windows.consoles.Consoles — Windows 콘솔 버퍼 탐색(입출력 흔적)
• windows.crashinfo.Crashinfo — Windows crash dump 정보 출력
• windows.debugregisters.DebugRegisters — 스레드/프로세스의 디버그 레지스터(DR0–DR7 등) 관련 상태 분석(우회/훅 단서)
• windows.deskscan.DeskScan — Desktop 인스턴스 스캔(숨김 desktop/GUI 단서)
• windows.desktops.Desktops — Desktop 인스턴스 열거
• windows.devicetree.DeviceTree — 드라이버/디바이스 트리 출력
• windows.direct_system_calls.DirectSystemCalls — Direct System Call 기반 EDR 우회 기법 탐지 (deprecated alias일 수 있음; malware 경로가 본체인 경우가 있음)
• windows.dlllist.DllList — 프로세스별 로드된 DLL 목록 출력
• windows.driverirp.DriverIrp — 드라이버별 IRP 정보 출력(IRP 후킹 단서)
• windows.drivermodule.DriverModule — 루트킷에 의해 숨겨진 드라이버 여부 판단
• windows.driverscan.DriverScan — 메모리 스캔으로 드라이버 오브젝트 탐색
• windows.dumpfiles.DumpFiles — 메모리의 캐시된 파일 내용 덤프(파일 복구)
• windows.envars.Envars — 프로세스 환경 변수 출력
• windows.etwpatch.EtwPatch — ETW 패치/변조(ETW disable/patch) 탐지(EDR 우회 단서)
• windows.filescan.FileScan — 메모리 스캔으로 file object 탐색
• windows.getservicesids.GetServiceSIDs — 프로세스 토큰의 SID 목록 출력(서비스 SID 포함 가능)
• windows.getsids.GetSIDs — 프로세스 소유 SID 출력
• windows.handles.Handles — 프로세스 open handle 목록 출력
• windows.hollowprocesses.HollowProcesses — 프로세스 hollowing 징후 탐지/나열
• windows.iat.IAT — IAT(Import Address Table) 추출로 임포트 API 목록 확인
• windows.indirect_system_calls.IndirectSystemCalls — Indirect System Call 기반 EDR 우회 기법 탐지 (deprecated alias일 수 있음)
• windows.info.Info — 메모리 샘플의 OS/커널 정보 출력
• windows.joblinks.JobLinks — 프로세스 Job object 링크 정보 출력
• windows.kpcrs.KPCRs — CPU별 KPCR 구조 출력
• windows.ldrmodules.LdrModules — 로드 모듈 정보(PEB/LDR 등) 기반 숨김 DLL/불일치 분석 보조
• windows.malfind.Malfind — 주입 의심 메모리 범위(VAD) 출력
• windows.malware.direct_system_calls.DirectSystemCalls — Direct System Call EDR 우회 탐지(현행 본체 플러그인인 경우)
• windows.malware.drivermodule.DriverModule — (동일 계열) 숨김 드라이버 탐지 목적
• windows.malware.hollowprocesses.HollowProcesses — (동일 계열) 프로세스 hollowing 탐지
• windows.malware.indirect_system_calls.IndirectSystemCalls — Indirect System Call EDR 우회 탐지
• windows.malware.ldrmodules.LdrModules — (동일 계열) 숨김/위장 DLL 탐지 보조
• windows.malware.malfind.Malfind — (동일 계열) 주입 의심 메모리 범위 탐지
• windows.malware.pebmasquerade.PebMasquerade — PEB 기반 프로세스 위장(경로/이름/파라미터 불일치) 탐지
• windows.malware.processghosting.ProcessGhosting — Process Ghosting 기법 징후 탐지
• windows.malware.psxview.PsXView — 여러 방법의 프로세스 결과를 비교해 숨김 프로세스 탐지
• windows.malware.skeleton_key_check.Skeleton_Key_Check — Skeleton Key 악성 징후 탐지
• windows.malware.suspicious_threads.SuspiciousThreads — 의심 스레드(유저랜드) 징후 나열
• windows.malware.svcdiff.SvcDiff — 서비스 리스트/스캔 결과 비교로 숨김 서비스/루트킷 탐지
• windows.malware.unhooked_system_calls.UnhookedSystemCalls — 프로세스의 ntdll syscall stub 구현 차이를 이용해 후킹/언후킹(EDR 우회) 징후 탐지
• windows.mbrscan.MBRScan — MBR 후보 스캔/파싱(부트킷 단서)
• windows.memmap.Memmap — 메모리 맵 출력(옵션에 따라 덤프에도 활용)
• windows.mftscan.ADS — MFT ADS(Alternate Data Stream) 스캔
• windows.mftscan.MFTScan — MFT FILE 오브젝트 스캔/출력
• windows.mftscan.ResidentData — Resident Data 포함 MFT 레코드 스캔
• windows.modscan.ModScan — 메모리 스캔으로 모듈 탐색(숨김/잔존 모듈 단서)
• windows.modules.Modules — 로드된 커널 모듈 목록 출력
• windows.mutantscan.MutantScan — mutex(mutant) 오브젝트 스캔(IOC/동기화 단서)
• windows.netscan.NetScan — 네트워크 오브젝트 스캔(연결/소켓 아티팩트)
• windows.netstat.NetStat — 네트워크 트래킹 구조 순회로 네트워크 상태/연결 출력
• windows.orphan_kernel_threads.Threads — 모듈에 매핑되지 않는 orphaned kernel thread 열거(은닉 실행/루트킷 단서)
• windows.pe_symbols.PESymbols — PE 심볼/메타정보 출력(분석 보조)
• windows.pedump.PEDump — 메모리의 특정 주소에서 PE 덤프/추출
• windows.poolscanner.PoolScanner — Windows pool 기반 범용 스캐너(오브젝트 탐색)
• windows.privileges.Privs — 프로세스 토큰의 Privilege 목록 출력
• windows.processghosting.ProcessGhosting — Process Ghosting 징후 탐지/나열(구 경로일 수 있음)
• windows.pslist.PsList — 프로세스 리스트 출력
• windows.psscan.PsScan — 메모리 스캔으로 프로세스 오브젝트 탐색
• windows.pstree.PsTree — 프로세스 트리 출력
• windows.psxview.PsXView — 여러 소스 비교로 숨김 프로세스 탐지
• windows.registry.amcache.Amcache — AmCache 기반 실행 앱 정보 추출(권장 경로)
• windows.registry.certificates.Certificates — 레지스트리 기반 인증서 스토어 열거
• windows.registry.getcellroutine.GetCellRoutine — 레지스트리 hive의 GetCellRoutine 훅 여부 보고
• windows.registry.hivelist.HiveList — 메모리의 레지스트리 hive 목록 출력
• windows.registry.hivescan.HiveScan — 메모리 스캔으로 레지스트리 hive 탐색/복구
• windows.registry.printkey.PrintKey — 특정 hive/키의 레지스트리 키·값 출력
• windows.registry.scheduled_tasks.ScheduledTasks — 레지스트리 기반 Scheduled Tasks 정보 디코딩(트리거/액션/시간 등)
• windows.registry.userassist.UserAssist — UserAssist 파싱(사용자 실행 흔적)
• windows.scheduled_tasks.ScheduledTasks — windows.registry.scheduled_tasks로 **rename된 플러그인의 구 경로(deprecated alias)**일 수 있음
• windows.sessions.Sessions — 프로세스별 세션(Session) 정보 출력
• windows.shimcachemem.ShimcacheMem — 메모리에서 ShimCache(AppCompatCache) 항목 추출(실행 흔적)
• windows.skeleton_key_check.Skeleton_Key_Check — Skeleton Key 악성 징후 탐지
• windows.ssdt.SSDT — SSDT(System Service Descriptor Table) 출력(시스템 콜 훅 단서)
• windows.statistics.Statistics — 메모리/오브젝트 통계 출력(요약/분석 보조)
• windows.strings.Strings — strings 결과를 프로세스/메모리 위치와 매핑해 출처 추정
• windows.suspended_threads.SuspendedThreads — Suspend된 스레드 열거(스레드 하이재킹/주입 단서)
• windows.suspicious_threads.SuspiciousThreads — 의심 스레드 징후 나열
• windows.svcdiff.SvcDiff — 서비스 리스트/스캔 비교로 숨김 서비스 탐지
• windows.svclist.SvcList — services.exe의 리스트 기반 서비스 열거
• windows.svcscan.SvcScan — 메모리 스캔으로 서비스 오브젝트 탐색
• windows.symlinkscan.SymlinkScan — 메모리의 symlink(오브젝트 링크) 스캔
• windows.thrdscan.ThrdScan — 메모리 스캔으로 스레드 오브젝트 탐색
• windows.threads.Threads — 프로세스별 스레드 목록 출력
• windows.timers.Timers — 커널 타이머/DPC 및 관련 모듈 출력(지속성/후킹 단서)
• windows.truecrypt.Passphrase — 메모리에서 TrueCrypt 캐시 passphrase 탐색/추출
• windows.unhooked_system_calls.unhooked_system_calls — (구 경로/alias) 후킹/언후킹된 syscall stub(EDR 우회) 탐지
• windows.unloadedmodules.UnloadedModules — 언로드된 커널 모듈 목록 출력(흔적/루트킷 단서)
• windows.vadinfo.VadInfo — 프로세스 VAD(가상 메모리 영역) 정보 출력
• windows.vadregexscan.VadRegExScan — VAD에서 정규식 패턴 스캔
• windows.vadwalk.VadWalk — VAD 트리 순회
• windows.vadyarascan.VadYaraScan — VAD에서 YARA 룰 스캔
• windows.verinfo.VerInfo — 메모리 내 PE의 버전 리소스 정보 출력
• windows.virtmap.VirtMap — 가상 메모리 매핑/섹션 매핑 정보 출력(가상→물리 매핑 분석 보조)
• windows.windows.Windows — Desktop 인스턴스의 Window(윈도우 객체/GUI) 열거
• windows.windowstations.WindowStations — Window Station 스캔/열거(GUI 세션 분석)
• yarascan.YaraScan — YARA 룰로 메모리 스캔(커널/레이어 대상)