14 مستودعات
Tools and frameworks for analyzing volatile memory dumps to investigate malware and system state.
Distinct from Memory Forensics: Existing candidates were listed under awesome-lists rather than the core security taxonomy.
Explore 14 awesome GitHub repositories matching security & cryptography · Memory Forensics. Refine with filters or upvote what's useful.
This project is a security tool installation framework and binary analysis toolkit designed to automate the deployment of research utilities. It provides a containerized security research environment and a system for managing Python and Ruby virtual environments to prevent dependency conflicts on the host machine. The framework distinguishes itself through a structured tool catalog and provisioning scripts that automate the installation of utilities into isolated directories. It utilizes executable symlink mapping to provide a unified command interface and supports the bootstrapping of consis
Automates the installation and configuration of the Volatility framework and other memory forensics software.
Volatility is a memory forensics framework and digital forensics tool designed to extract and analyze evidence from volatile computer memory dumps. It functions as a memory dump parser and analysis platform used to identify running processes, network connections, and loaded modules from a system RAM capture. The framework enables the reconstruction of system state to uncover malicious activity, such as rootkits and injected code, during malware incident response and threat hunting. It provides capabilities for digital forensic investigations to detect unauthorized access and indicators of com
Extracts data from active memory to uncover hidden evidence for digital forensic investigations.
pcileech is a toolkit for executing DMA attacks, analyzing PCIe bus traffic, performing kernel patching, and conducting remote volatile memory forensics. It functions as a hardware memory acquisition tool and a PCIe DMA attack framework designed to read and write remote system memory via direct hardware interfaces. The project provides capabilities for capturing and displaying raw transaction layer packets from the PCIe bus and mounting live RAM as local drives for analysis. It enables the modification of system memory signatures and the execution of shellcode or implants within the kernel wi
Mounts live RAM as local drives and analyzes remote memory without needing full data dumps.
frida-dexdump is an Android memory forensics tool that recovers Dalvik Executable (DEX) files from running application processes using the Frida dynamic instrumentation framework. It functions as a Frida-based runtime analyzer and DEX memory dumper, capable of extracting obfuscated or packed DEX files without modifying the Android system. The tool distinguishes itself through its ability to repair corrupted or missing DEX file headers using heuristic analysis and fuzzy matching techniques. It employs fuzzy boundary detection to identify DEX file boundaries in memory even when headers are dama
A memory analysis utility that recovers obfuscated or packed DEX files from running Android applications.
هذا المشروع عبارة عن مجموعة منسقة من الأدوات والنصوص البرمجية والأدلة التقنية المصممة لتعزيز عمليات الأمن الهجومي باستخدام Cobalt Strike. يعمل كمركز موارد لإدارة البنية التحتية للقيادة والتحكم ونشر مشاركات الأمان. تتضمن المجموعة مجموعات أدوات للتهرب من أنظمة اكتشاف واستجابة نقاط النهاية، إلى جانب مكتبات لأتمتة مهام الفريق الأحمر مثل الاستطلاع وتعداد المضيف. يوفر موارد لتطوير أطر عمل ما بعد الاستغلال، مع التركيز بشكل خاص على إنشاء مكتبات انعكاسية وكود مقيم في الذاكرة. يغطي المستودع مجموعة واسعة من القدرات التشغيلية، بما في ذلك تخصيص حركة مرور الشبكة لتجنب الاكتشاف، والطب الشرعي للذاكرة لتحليل البنية التحتية، وتقنيات متنوعة لتعتيم الـ shellcode. كما يتضمن أدلة لتهيئة خوادم القيادة والتحكم وتنفيذ حقن عمليات المضيف.
Provides tools for analyzing volatile memory dumps to investigate and identify malicious C2 beacons and servers.
MemProcFS هي أداة تحليل ذاكرة متطايرة ونظام الحصول على الذاكرة عبر الأنظمة الأساسية. تعمل كنظام ملفات افتراضي لطب الشرعي للذاكرة، حيث تقوم بتعيين الذاكرة الفعلية وكائنات النواة في هيكل دليل افتراضي يسمح للمستخدمين بتحليل آثار النظام باستخدام أدوات نظام الملفات القياسية. يتميز المشروع بتوفير نظام ملفات افتراضي لطب الشرعي للذاكرة، مما يتيح تصفح والاستعلام عن الذاكرة الفعلية كملفات ومجلدات للقراءة فقط. كما يدمج ماسح ذاكرة يعتمد على Yara لتحديد توقيعات البرامج الضارة والكود المحقون داخل الذاكرة الفعلية. يغطي المحرك مجموعة واسعة من إمكانيات الطب الشرعي، بما في ذلك فحص العمليات والخيوط، وإدراج اتصالات الشبكة، وتحليل سجل Windows. يدعم استيعاب البيانات من الأنظمة الحية، وتفريغ الأعطال، والأجهزة الافتراضية، مع توفير حل الرموز لترجمة عناوين الذاكرة الخام إلى أسماء ذات معنى. يتم دعم التكامل من خلال واجهة برمجية متعددة اللغات وأغلفة مكتبة أصلية لـ C و Java، بالإضافة إلى برمجة Python بدون رأس لسير العمل المؤتمت.
Analyzes physical memory dumps or live system state to identify security threats and recover system artifacts.
Volatility3 هو إطار عمل للطب الشرعي للذاكرة وأداة تحليل تستخدم لتحليل تفريغات الذاكرة المتطايرة. يستخرج الأدلة الرقمية ويعيد بناء حالة النظام في وقت التشغيل لاستعادة معلومات العمليات، وآثار الشبكة، وغيرها من الأدلة الجنائية. يعمل النظام كمحرك جنائي قائم على الإضافات (Plugins) ومحلل لرموز نظام التشغيل. يقوم بربط عناوين الذاكرة الخام بهياكل النظام المعروفة باستخدام جداول الرموز وطبقات الترجمة، ويوفر معمارية قابلة للتوسيع لإنشاء ماسحات ضوئية وعارضات مخصصة. يتضمن إطار العمل مستكشف ذاكرة عبر سطر الأوامر لاكتشاف البيانات في الوقت الفعلي وواجهة قابلة للبرمجة لأتمتة إنشاء تقارير الذاكرة. ويتعامل مع استخراج الأدلة الرقمية وحل رموز النظام من خلال عملية ترجمة عناوين قائمة على الطبقات.
Provides a comprehensive framework for analyzing volatile memory dumps to reconstruct runtime system states.
MimiPenguin هي أداة لاستخراج بيانات الاعتماد من ذاكرة Linux واستعادة كلمات المرور مصممة لعزل واسترجاع كلمات مرور تسجيل دخول المستخدم بالنص الواضح من ذاكرة العملية النشطة. تعمل كأداة لما بعد الاستغلال لاستخراج بيانات الاعتماد الحساسة من جلسات مستخدم سطح المكتب أثناء التقييمات الأمنية. تجري الأداة تحقيقات جنائية في ذاكرة Linux من خلال تحليل ذاكرة عمليات النظام لتحديد وعزل بيانات الاعتماد. تُستخدم لاختبار اختراق الأمان وتقييم المخاطر المرتبطة بالهجمات القائمة على الذاكرة، بالإضافة إلى اختبار تصعيد الامتيازات المحلي. يستهدف النظام ذاكرة جلسة المستخدم عن طريق تفريغ الذاكرة الافتراضية للعمليات الجارية. ويستخدم مسح الذاكرة القائم على الأنماط، وتحديد كلمات المرور الاستدلالي، وعزل بيانات الاعتماد بالنص الواضح للتمييز بين كلمات المرور المحتملة والبيانات الثنائية.
Analyzes system process memory to identify and isolate sensitive data like user credentials and passwords.
Loki is an endpoint detection tool, forensic artifact analyzer, and threat intelligence scanner. It functions as a YARA-based indicator of compromise scanner designed to identify malicious persistence mechanisms, web shells, and unauthorized administration tools across local and remote systems. The project distinguishes itself by integrating multi-source threat intelligence, allowing for the loading of custom signature sets and encrypted indicators. It combines hash-based artifact detection with YARA rule execution to scan files, process memory, and registry hives for known malicious byte seq
Analyzes disk images, memory dumps, and registry hives to find indicators of compromise.
Velociraptor is a digital forensics and incident response platform, endpoint detection and response system, and visibility tool. It provides a query engine and remote forensic collector used to hunt for indicators of compromise and perform triage across a fleet of hosts. The system is distinguished by its specialized query language for interrogating host state and parsing binary files. It features a notebook environment that combines markdown documentation with executable query cells to standardize investigative workflows and enable collaborative reporting. The platform covers a wide range o
Extracts critical forensic evidence from host memory and files into local files for further analysis.
pe-sieve is a set of diagnostic tools for scanning Windows process memory to identify malicious implants, shellcode, and hooks. It functions as an in-memory implant detector, malware unpacker, and process callstack analyzer designed to locate and dump memory patches and injected code from running processes. The project identifies advanced evasion techniques, such as process hollowing and reflective injection, by verifying portable executable structures in memory. It distinguishes itself by analyzing process callstacks to detect anomalies and redirections and by reconstructing executable heade
Extracts raw segments of injected executables and shellcode from volatile memory for offline forensic examination.
Chainsaw is a Windows forensic analysis tool used for parsing system databases and extracting security artefacts. It functions as a forensic artefact extractor and a scanner for identifying security threats and log tampering within Windows event logs. The project distinguishes itself by implementing a Sigma rule forensic scanner that applies standardized detection logic and custom rule sets to event logs and forensic artefacts. It enables threat hunting workflows by matching event data against patterns to identify malicious activity, lateral movement, and brute force attacks. The tool's capa
Extracts specific security evidence from disk files into local structured formats for analysis.
ipsw is a specialized toolkit for iOS firmware analysis, binary reverse engineering, and hardware interaction. It provides a suite of tools for downloading, extracting, and analyzing firmware images and kernel caches, alongside a MachO binary analysis tool for disassembling and patching executables. The project distinguishes itself through integrated language-model-powered code reconstruction to translate machine code into high-level source code. It also features an automation client for the App Store Connect API to manage certificates and application settings. The framework covers a broad r
Provides capabilities for extracting specific forensic artifacts from system images and memory dumps for analysis.
Maskphish is a comprehensive security toolkit that integrates capabilities for digital forensics, network vulnerability scanning, open-source intelligence, penetration testing, and social engineering. It functions as a multi-purpose framework for automating reconnaissance and executing security audits across diverse network environments. The project features a specialized phishing and social engineering toolkit used for cloning websites, masking URLs, and deploying deceptive pages to capture user credentials. It also includes a remote access Trojan builder for generating platform-specific exe
Provides a web-based graphical interface for analyzing volatile memory dumps using forensics plugins.