如何为2.6版本的volatility添加第三方自定义插件(ELF版本volatility如何添加第三方自定义插件)

已于 2024-03-13 08:47:41 修改
阅读量516 收藏 2
点赞数 15
文章标签: linux 安全 bash
于 2024-03-12 23:51:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gucxugxuxyf/article/details/136666469
版权

正如标题所言,此处笔者使用的volatility的版本为2.6版本,此volatility是ELF的程序,并非Python版本的volatility。本文主要解答在使用Linux可执行程序2.6版本的Volatility如何进行自定义插件的安装,关于Python版本的volatility如何安装插件,网上教程很多,此处笔者不做介绍。

在使用volatility的第三方插件之前,我们首先需要为第三方插件创建一个目录来存放这些插件。此处笔者将目录设置在了/usr/sbin/plugins;可以使用如下命令来创建这个目录

mkdir -p /usr/sbin/plugins

目录创建完毕之后,我们就可以将我们下载好的自定义插件放到目录中了(此处笔者以bitlocker.py为例),如下

       691d93028e2441a58cf6d0dd51e41a43.png

可以看到此处笔者已经将插件放进到插件目录里面了,此时我们就可以使用这个插件了。

使用volatility的--plugins选项来指定这个目录。我们来看一下插件列表,使用命令

volatility --plugins=/usr/sbin/plugins --info

       bab2db12a5c94ae4b65fa53a42c76494.png

可以看到成功导入自定义插件bitlocker。随后我们就可以volatility中使用它了,使用命令如下:

 volatility --plugins=/usr/sbin/plugins -f 1.dmp --profile Win7SP1x64 bitlocker

6fbd21c84bb545499b8b2f93e74e7597.png

成功调用自定义插件bitlocker

**先别急着走!**这里需要注意一个问题,此处的--plugins选项必须在-f选项之前,否则自定义插件是没法加载进来的,如下:

       150c3193ac4649c8afc7505498494a57.png

       4e1932842c2040ebba05e805281365e3.png

 

       90bdb5e2b9294275a30ef753bf1e76bf.png

这个问题的具体原因笔者也不得而知,只有大概的揣测,我就不发表不成熟的见解了;笔者写这篇博文的主要目的为填补空缺,网上关于ELF版本volatility如何安装插件的文章真的是少之又少,大部分人都是在搬抄Python版本的vol如何去安装插件,我在找寻资料的时候绕了好久,最终还是在自己的摸索下找出了解决方案,特地书写本篇文章,希望能够帮到各位师傅。

总之,文章如上,还请各位师傅多多指点。

 

 

 

S4dW4t3r
关注
  • 15
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
volatility-plugins, 我为波动而编写的插件.zip
09-17
volatility-plugins, 我为波动而编写的插件 用户定义的波动插件我所做的插件:uninstallinfo.py - 从内存转储 HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallprefetch.py - 扫描预取文件的内存和转
volatility_plugins:一些波动性插件
05-05
CAVEAT:这些仅适用于并且仅在64位Linux系统上进行了测试。 必须为32位系统定义一个不同的VType。 下面的用法说明假定波动性已经与依赖项一起安装。 仅支持最新版本(不支持发布的版本2.4或2.4.1,而是实际的最新母版)。 linux_python_strings 最初,此插件从运行的python进程的内存中提取python字符串。 vol.py \ --plugins=profiles:<other>:<path>/plugins \ --profile=<profile> \ -f <path> \ linux_python_strings -p <PID> --dump-dir . 这将打印出PI
Volatility2安装
weixin_72667582的博客
04-30 682
7.使用wget去github下载并命名为mimikatz.py。5.查看volatility的安装目录。1.安装distorm3。
volatility2各类外部插件使用简介
BlusKing
12-10 5214
插件使用方式: 1.把插件文件放入volatility的plugins中 2.使用--plugins参数指定插件目录 官方-社区插件项目 https://github.com/volatilityfoundation/community 注意: 1.如果使用出错,可以打开插件文件或者单独运行,可能是有些库没有安装 2.官方虽然提供了一个社区插件的整合仓库,却没有给出详细说明。文件夹名称是插件制作者的姓名,文件夹内才是插件真正的名称。下面挑一部分进行说明。 mimaka...
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility_2.6_win64system_standalone.rar
10-08
总的来说,Volatility 2.6 Windows版是内存取证领域的一把利剑,通过其强大的分析能力,可以帮助安全专家揭露隐藏在内存深处的秘密,为网络安全防御提供强有力的支持。无论是对于网络安全研究,还是在实际的CTF...
volatility_2.6_lin64_standalone.zip
05-16
Volatility 2.6 lin64_standalone.zip是该工具的一个Linux版本,专为64位系统设计,具有独立运行的能力,无需依赖其他环境或组件。这个压缩包包含了所有必要的文件,使得用户可以直接在Linux环境中对内存镜像进行...
volatility_2.6_mac64_standalone.zip
05-16
Volatility 2.6是该框架的一个重要版本,它提供了丰富的插件和工具,能够对多种操作系统,包括Windows、Linux和macOS进行内存分析。Mac64版本特别针对苹果的64位架构进行了优化,确保在macOS平台上高效、稳定地运行...
MalConfScan:Volatility插件,用于提取已知恶意软件的配置数据
02-05
Volatility是用于事件响应和恶意软件分析的开源内存取证框架。 该工具在内存映像中搜索恶意软件并转储配置数据。 此外,该工具还具有列出恶意代码引用的字符串的功能。 受支持的恶意软件家族 MalConfScan可以转储...
Volatility-plugins:波动率插件
06-23
波动率插件Volatility Plugins)是用于内存取证分析的工具集,主要与..."Volatility-plugins-master"存储库中的插件反映了Kudelski安全团队在内存取证领域的专业知识,为其他安全专业人员提供了宝贵的资源。
volatility安装+插件安装(mimikatz)
sbingmo的博客
07-11 1万+
volatility安装+插件安装(mimikatz)
Volatility2.6用法
江左盟的博客
05-20 2697
目录 简介 使用要求 安装 基本用法 实例 更多用法 简介 volatility框架是一个完全开源的工具集合,在GNU通用公共许可证下以Python实现,用于从易失性存储器(RAM)样本中提取数字信息。提取技术的执行完全独立于正在调查的系统,但提供了进入系统运行时状态的可见性。该框架旨在向人们介绍与提取数字信息相关的技术和复杂性,其支持的操作系统也非常广泛,同时支持 windows,linux,Mac OSX,甚至也支持 Android 手机使用ARM处理器的取证,是目前最受欢迎的取证工具.
volatility内存取证分析与讲解(持续更新)
qq_49422880的博客
02-28 6415
volatility内存取证分析与讲解0x01 volatility的安装0x02 基本使用0x03 取证实战(持续更新)0x04 总结 0x01 volatility的安装 本人暂时只使用windows下的volatility进行取证,安装方法如下: volatility安装网址 进去之后,找到windows版本然后直接下载即可。 直接解压,就能用。 0x02 基本使用 1.volatility_2.6.exe -f .\Target.vmem imageinfo 查看镜像的基本信息。使用的时候可以将
内存取证-Volatility安装使用以及一些CTF比赛题目
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3339
内存取证神器Volatility常用指令大全
Volatility中Windows有关的插件功能说明
dmbjzhh的专栏
03-02 5882
Windows Core镜像识别插件:imageinfo:显示目标镜像的摘要信息kdbgscan:kernel debugger block,KDBG是由Windows内核维护的用于调试目的的结构。它包含正在运行的进程和加载的内核模块的列表。它还包含一些版本信息,可让您确定内存转储是否来自Windows XP系统与Windows 7,安装了哪个Service Pack以及内存模型(32位与64位)...
取证工具Volatility-2.1使用方法
Soda_199的博客
03-21 1万+
1、首先下载python,然后解压安装完成后,设置环境变量。2、根据自己电脑的系统下载volatility,网址:http://www.volatilityfoundation.org/releases,然后解压即可。3、用DumpIt工具(是内存副本获取工具)生成主机的物理内存镜像。解压DumpIt后,双击DumpIt.exe可执行程序,并在提示问题后面输入y,等待几分钟时间即可在当前目录下生成...
[笔记]Volatility 取证工具使用以及Hollow插件使用
二次元怪兽的博客
06-14 1595
Volatility内存取证使用Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。而Dumpit是用于生成Windows机器的物理内存转储,可运行在32位/64位系统中,可完美地部署在USB闪存盘上,快速响应事件。Volatility:https://github.com/volatilityfoundation/volatility win10 python2.7 DumpIt.exe执行时 报错 解决方案 htt
LiME + volatility2.4进行内存读取
天高海阔 扬帆远行
07-31 2471
volatility_2.4是一个内存dump内容查看工具。下载地址安装需要python2.6,直接在代码目录下./configure make && make install即可。然后执行python vol.py --info查看输出。可能会提示找不到Crypto.Hash和libstorm3,找到对应的python模块,python setup.py install即可。需要一个dump内存的
kali2023 volatility 2.6
最新发布
12-20
kali2023 volatility 2.6 是指Kali Linux操作系统的2023年版本中的Volatility工具版本号为2.6Volatility是一款用于数字取证分析的开源工具,它可以帮助研究人员在计算机内存中进行取证及分析。由于计算机内存中存储了大量的关键信息,包括进程、网络连接、注册表等,因此使用Volatility工具可以帮助取证人员在进行计算机取证时有效地获取相关信息。 Kali Linux作为一款专门用于渗透测试和取证分析的操作系统,对于数字取证研究人员来说是一个非常方便的平台。kali2023 volatility 2.6的发布意味着Volatility工具在Kali Linux系统上的更新和使用。这将为数字取证研究人员提供更多功能和更好的用户体验,使他们可以更有效地进行数字取证分析工作。 作为数字取证领域的一个重要工具,Volatility版本更新通常意味着对其功能和性能的改进,可能包括新增的取证特性、修复已知的漏洞或提高工具的稳定性。因此,kali2023 volatility2.6的发布将为数字取证研究人员带来更多的技术支持和便利,有助于他们更好地进行取证分析工作。希望这款工具的不断更新能够为数字取证领域的发展和犯罪打击提供更多的助力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值