volatility命令

已于 2022-10-28 15:39:37 修改
阅读量1.4k 收藏 7
点赞数
分类专栏: misc 文章标签: 大数据
于 2022-07-02 22:39:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacker_zrq/article/details/125578926
版权
本文介绍了Volatility命令的使用,包括基础命令和常用命令,帮助读者理解如何通过这些命令来深入分析操作者的行为记录。
摘要由CSDN通过智能技术生成

一、基础命令 

最最最基础的命令格式:
volatility -f [image] ‐-profile=[profile] [plugin] 命令
 
其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版本, [plugin] 是指使用的插件,其中默认存在一些插件,另外还可以自己下载一些插件扩充

二、常用命令

通过下面的命令,分析结果既可以溯源操作者那一段时间的所有操作。

可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令

imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数

pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以

pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程

psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程

cmdscan:可用于查看终端记录

notepad:查看当前展示的 notepad 文本(–profile=winxp啥的低版本可以,win7的不行࿰
了解本专栏 订阅专栏 解锁全文 超级会员免费看
ad_m1n
关注
专栏目录
订阅专栏
volatility内存取证基本命令
weixin_44644249的博客
02-01 766
环境: Kali Linux自带(若没有安装下一步安装) Linux安装: git clone https://github.com/volatilityfoundation/volatility Windows安装: http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalone.zip Mac OS安装: http://downloads.volatilityfoundation.org/re
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
流量分析和内存取证
weixin_53139887的博客
01-10 880
流量分析 先出示一个例题,这是长安防疫站的一道misc题 先过滤http流量,手动分析所有返回http200的请求(http200是服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。)可以得到两个可疑的文件 追踪他们两个的tcp流, 然后对第一个进行base32解码 在对第二个进行base64解码,观察可知是zip压缩包,解压得到文件夹 chips包含和hint一一对应的图片一堆, 接下来一步就是如何将图像拼接成正常的包含flag的样子 这是流量分析比较基础...
volatility3取证windows相关命令
Tokeii想躺平
09-25 2211
windows.info:显示正在分析的内存样本的OS和内核详细信息 windows.callbacks:列出内核回调和通知例程 windows.cmdline:列出进程命令行参数 windows.dlldump:将进程内存范围DLL转储 windows.dlllist:列出Windows内存映像中已加载的dll模块 windows.driverirp:在Windows内存映像中列出驱动程序的IRP windows.driverscan:扫描Windows内存映像中存在的驱动程序 windows.files
Volatility3用法
江左盟的博客
05-24 1万+
简介 Volatility3是对Volatility2的重写,它基于Python3编写,对Windows 10的内存取证很友好,且速度比Volatility2快很多。对于用户而言,新功能的重点包括:大幅提升性能,消除了对--profile的依赖,以便框架确定需要哪个符号表(配置文件)来匹配内存示例中的操作系统版本,在64位系统(例如Window的wow64)上正确评估32位代码,自动评估内存中的代码,以避免对分析人员进行尽可能多的手动逆向工程。对于开发人员:更加轻松地集成到用户的第三方接口和库中,广泛的A
Volatility3 windows插件详解
u011250160的博客
09-26 4677
发现三个系统加起来太tm多了 先搞windows 剩下的有缘再见 banners.Banners 识别linux镜像的banner信息 不识别windows的镜像 isfinfo.IsfInfo 确定当前可用的ISF文件 具体什么是ISF文件,我也没查到 如下 layerwriter.LayerWriter Runs the automagics and writes out the primary layer produced by the stacker. 运行 automagics 并写出堆栈器产
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
volatility_2.6_win64system_standalone.rar
10-08
2. README.txt:通常,这个文件包含了关于如何使用工具的基本指南,包括安装、配置和执行命令的步骤,对于初学者来说非常有用。 3. LICENSE.txt、CREDITS.txt、AUTHORS.txt、LEGAL.txt:这些文件分别提供了...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
最新发布
2401_85013565的博客
05-15 1650
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件
【volatality 3】使用说明文档
SwBack的博客
11-17 1403
由于volatility2.6 和3.0 版本之间略有差异,所以特写本文档用来学习参考。在vol3 中不需要指定profile,而是在命令中指定系统。如windows.info、Windows.pslist。
内存取证volatility工具命令详解
Y525698136的博客
01-04 3066
内存取证volatility工具命令详解
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 1万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
Volatility取证分析工具使用
xlsj雪松的博客
08-08 8359
1 基本使用与详情 首先查看它都有什么命令: 它有丰富的插件命令,可以完成大量的工作。 比如以下常用插件命令: Pslist 枚举系统中的进程。 Pstree 以树的形式枚举系统中的进程。 Modscan 扫描_ldr_data_table_entry对象的物理内存。 Kpcrscan 查找内存中用于定义内核处理器控制区域(KPCR)的_KPCR结构体信息。 Dlllist 显示...
Volatility3内存取证工具安装及入门在Linux下的安装教程
Geek极安云科-致力于网络安全事业
12-11 5029
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。以前很多赛项都是使用vol2.6都可以完成,但是由于操作系统更新,部分系统2.6已经不支持了,如:Win10 等镜像,而Volatility3是支持这些新版本操作系统的。
内存镜像文件取证
山兔的博客
03-20 1449
打印userassist注册表项和信息跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。题目问我们的是最后一次运行计算器的时间,我们直接去找calc.exe的最后一次运行的时间得出最后运行的时间是2021-12-10 12:15:47 UTC+0000,因为我们是在东八区,所以时间要加上8个小时,所以最终的截止时间是2021-12-10 20:15:47。
内存取证-volatility工具的使用 (史上更全教程,更全命令
路baby的博客
10-20 8万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility常用的命令
菜菜的博客
09-30 2370
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
入门学习Linux常用必会60个命令实例详解 Linux必学的60个命令
热门推荐
颗粒归仓
04-08 10万+
系统信息  arch 显示机器的处理器架构(1)  uname -m 显示机器的处理器架构(2)  uname -r 显示正在使用的内核版本  dmidecode -q 显示硬件系统部件 - (SMBIOS / DMI)  hdparm -i /dev/hda 罗列一个磁盘的架构特性  hdparm -tT /dev/sda 在磁盘上执行测试性读取操作  cat /proc/cpui
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值