前言
1、本文所需工具及题目:点击下载
2、所作操作均使用root用户执行
一、安装volatility及相关依赖文件
volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。
1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master
2、将pac.zip文件中的内容分别复制到/usr/local/lib/python2.7/dist-packages/目录下
3、将题目解压后同样放置于home/root/volatility-master路径下
二、例题
1、memory.raw
1、执行如下命令,查看系统版本信息。重点看系统的版本,最有可能是WindowsXP
python2 vol.py -f memory.raw imageinfo
示例:
2、查看系统运行的进程
python2 vol.py -f memory.raw --profile=WinXPSP2x86 pslist #列出进程
python2 vol.py -f memory.raw --profile=WinXPSP2x86 psscan #列出进程
示例:
3、查看CMD进程,看系统调用了哪些进程
python2 vol.py -f memory.raw --profile=WinXPSP2x86 cmdscan #查看cmd命令历史
python2 vol.py -f memory.raw --profile=WinXPSP2x86 cmdline #查看cmd命令历史
python2 vol.py -f memory.raw --profile=WinXPSP2x86 consoles #查看cmd命令历史
示例:可以看到一些敏感信息
4、查看ie浏览器历史记录,可以找到一些蛛丝马迹
python2 vol.py -f memory.raw --profile=WinXPSP2x86 iehistory
示例: