Volatility工具指令篇

最新推荐文章于 2023-11-09 17:48:11 发布
最新推荐文章于 2023-11-09 17:48:11 发布
阅读量1w 收藏 51
点赞数 6
文章标签: python 操作系统 硬件架构
原文链接:http://blog.51cto.com/13352079/2434792
版权

Volatility入门指令篇:

Volatility -f name imageinfo
volatility -f name pslist --profile=WinXPSP2x86   列举进程:
volatility -f name  --profile=WinXPSP2x86 volshell
dt("_PEB") 查看进程环境块
volatility -f name --profile=WinXPSP2x86 hivelist列举缓存在内存的注册表 :


hivedump打印出注册表中的数据 :

volatility -f name  --profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址


显示每个进程的加载dll列表

Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt


获取SAM表中的用户:

volatility -f name --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"


登陆账户系统

volatility -f name --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"


userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等

volatility -f name --profile=WinXPSP2x86 userassist


将内存中的某个进程数据以 dmp 的格式保存出来 

volatility -f name --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]


提取内存中保留的 cmd 命令使用情况

volatility -f name --profile=WinXPSP2x86 cmdscan


获取到当时的网络连接情况

volatility -f name --profile=WinXPSP2x86 netscan


获取 IE 浏览器的使用情况 :

volatility -f name --profile=WinXPSP2x86 iehistory


获取内存中的系统密码,可以使用 hashdump 将它提取出来

volatility -f name --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)
volatility -f name --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60
volatility -f name --profile=WinXPSP2x86 timeliner


对文件查找及dumo提取某个进程:

volatility -f name --profile=Win7SP1x64 memdump -D . -p 2872
strings -e l ./2872.dmp | grep flag
volatility -f name --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 -n --dump-dir=./


HASH匹配用户账户名密码:

Hash, 然后使用john filename --format=NT破解


安全进程扫描

volatility -f name --profile=Win7SP1x64 psscan


Flag字符串扫描:

strings -e l 2616.dmp | grep flag


查找图片:

volatility -f name--profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gif
volatility -f name --profile=Win7SP1x64 netscan


注册表解析

volatility -f name --profile=Win7SP1x64 hivelist
volatility -f name --profile=Win7SP1x64  -o 0xfffff8a000024010 printkey -K "ControlSet001\Control;"


复制、剪切版:

volatility -f name --profile=Win7SP1x64 clipboard
volatility -f name --profile=Win7SP1x64 dlllist -p 3820


Dump所有进程:

volatility -f name --profile=Win7SP1x64 memdump -n chrome -D .
利用字符串查找download
python vol.py -f name --profile=Win7SP1x86 shimcache


svcscan查看服务

python vol.py -f name --profile=Win7SP1x86 svcscan

modules 查看内核驱动
modscan、driverscan 可查看一些隐藏的内核驱动
ShimCache来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后“执行”时间.
chanyi0040
关注
  • 6
    点赞
  • 51
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
volatility2 with mimikatz 装mimikatz插件踩的坑_volatility mimikatz(1)
04-18 349
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
linux 内存取证_两个取证软件的图形化调用工具
weixin_39876650的博客
12-21 637
一、开发初衷有两个工具,在取证上用处很大,也用得较多,因为是基于命令行下,很多人感觉用起来不习惯,且参数很多,心中始终感觉难以全面掌握,不踏实,每用一次都要百度下参数用法,很不方便。在这种心理下,就开发了这两个工具的GUI调用界面,果然感觉好多了,一目了然,发给同事们使用,获得好评。今天就来介绍下:1、两个取证工具的图形化工具Volatility-GUI和Qemu-img-GUI,都是...
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
Volatility clustering
07-24
journal of Volatility clustering,leverage,size,orcontagioneffects
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
内存取证 volatility
07-12
内存取证 volatility
VolatilityWorkbench.zip
05-16
VolatilityWorkbench.zip windows 下 内存取证,图形界面工具。亲测好用
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证,取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3304
内存取证神器Volatility常用指令大全
volatility取证
sechelper的博客
12-07 1489
vil取证,常用命令合集,11道实践案例,CTF相关
内存取证工具Volatility学习
crowsec
09-14 6514
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
Linux volatility 扫描工具的使用
03-11
Linux volatility 扫描工具的使用
内存取证之volatility常用命令
最新发布
shshshsh_的博客
11-09 748
volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址。volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址。这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。
volatility命令使用 misc部分取证解题(部分内存取证)
(●'◡'●)
07-13 3565
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取 将内存中的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
内存取证解题过程--Volatility常用命令
weixin_43891422的博客
08-07 4945
内存取证 所需软件: Linux平台下的Volatility,Windows平台下的010 Editor和Stegsolve 安装方法: Volatility在Ubuntu下安装命令:sudo apt install volatility Stegsolve在Github地址:https://github.com/Giotino/stegsolve 题目: https://share.weiyun.com/Y3B9kf0W 解题过程: 查看内存镜像信息: volatility -f zy.raw imag
volatility常用的命令
菜菜的博客
09-30 2210
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
volatility内存取证基本命令
weixin_44644249的博客
02-01 680
环境: Kali Linux自带(若没有安装下一步安装) Linux安装: git clone https://github.com/volatilityfoundation/volatility Windows安装: http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalone.zip Mac OS安装: http://downloads.volatilityfoundation.org/re
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
kali安装volatility工具
06-28
### 回答1: 1. 首先在Kali Linux中打开终端。 2. 输入以下命令以更新Kali Linux:sudo apt-get update 3. 安装Volatility工具:sudo apt-get install volatility 4. 等待安装完成后,输入以下命令以验证安装:volatility -h 5. 如果成功安装,将显示Volatility工具的帮助菜单。 6. 现在您可以使用Volatility工具来分析内存映像文件。 ### 回答2: Kali是一款流行的安全测试和渗透测试工具,它为安全研究人员和黑客提供了许多有用的工具和功能。Volatility是一款专门用于分析内存镜像的工具,它可以帮助用户发现潜在的恶意代码、病毒和其他安全漏洞。 Kali默认安装了Volatility工具,但在某些情况下,用户可能需要手动安装它。以下是在Kali中手动安装Volatility工具的步骤: 第一步:更新Kali系统 在安装任何新软件之前,最好先更新Kali系统。可以使用以下命令更新: sudo apt-get update sudo apt-get upgrade 第二步:安装Python Volatility需要使用Python 2.6或更高版本,因此需要先安装Python。可以使用以下命令安装: sudo apt-get install python2.7 第三步:安装依赖项 在安装Volatility之前,需要安装一些依赖项。可以使用以下命令安装: sudo apt-get install pcregrep libsmdev-utils libsmdev1 libsmraw-utils libsmraw1 python-crypto python-distorm3 python-pefile python-pxdlib python-pytsk3 python-boto python-dateutil python-defusedxml python-dfdatetime python-dfvfs python-dfwinreg python-oauth python-openpyxl python-requests python-xlrd sleuthkit zlib1g-dev 第四步:下载Volatility 可以从Volatility的官方网站https://www.volatilityfoundation.org/releases下载最新的稳定版本。下载后将文件解压缩到Kali的文件系统中。 第五步:运行Volatility 现在,可以通过运行以下命令来启动Volatilitypython vol.py 这将打开一个交互式命令行界面,用户可以使用其中的各种命令来分析内存镜像。 总结: 安装Volatility需要在Kali上安装Python和一些依赖项。然后,用户需要从Volatility的官方网站上下载最新版本。最后,用户可以使用python vol.py命令来启动Volatility,并使用其内置的命令来进行内存镜像分析。 ### 回答3: Kali Linux是基于Debian的Linux发行版,它提供了各种安全测试和渗透测试工具。其中,Volatility是一种开源的内存取证工具,它可以帮助分析内存镜像中的恶意代码和缓解攻击活动。本文将讲述如何在Kali Linux中安装Volatility工具。 第一步是从官方网站上下载Volatility工具。我们可以通过以下命令在终端中打开官方网站: ``` firefox https://www.volatilityfoundation.org/releases ``` 在浏览器中,我们可以找到可下载的最新版本的工具。我们需要下载 .zip 文件。 第二步是解压缩下载的文件,可以通过以下命令在终端中进行: ``` unzip volatility-2.6.1.zip ``` 第三步是安装Python和PIP。Volatility是基于Python编写的,因此我们需要先安装Python才能使用它。我们可以使用以下命令检查Python是否已经安装: ``` python --version ``` 如果Python未安装,我们可以使用以下命令安装Python: ``` apt install python3 apt install python3-pip ``` 第四步是安装Volatility所需的依赖项。为了使Volatility正常运行,我们需要安装一些必要的依赖项。可以使用以下命令安装它们: ``` pip3 install distorm3 pip3 install pycrypto pip3 install openpyxl pip3 install yara-python ``` 第五步是测试安装。如果所有依赖项都正确安装,我们就可以使用Volatility工具了。我们可以使用以下命令来验证安装是否成功,并输出工具的帮助信息: ``` cd volatility-2.6.1/ python3 vol.py -h ``` 如果成功安装,并且命令行界面输出了Volatility的帮助信息,那么我们就可以愉快地使用了。 综上所述,以上是在Kali Linux中安装Volatility工具的步骤。Volatility工具是一种非常有用的内存取证工具,可以帮助我们分析攻击活动和恶意代码,从而更好地保护我们的系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值