电子取证--windows下的volatility分析与讲解

最新推荐文章于 2024-01-04 12:30:00 发布
最新推荐文章于 2024-01-04 12:30:00 发布
阅读量897 收藏 9
点赞数 9
分类专栏: CTF 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcw991207/article/details/134794884
版权

1.volatility的安装

提示:我用的是2.6版本(windows),如果直接下载的出现问题,用迅雷就可以解决

下载地址:Volatility

在这里插入图片描述

2.volatility的使用

在这里插入图片描述
1.进入终端,查看镜像的系统信息

volatility.exe -f image.vmem imageinfo

一般都以第一个为主
在这里插入图片描述
2.查看进程

volatility.exe -f image.vmem --profile=Win7SP1x64 pslist

在这里插入图片描述
3.查看服务

volatility.exe -f image.vmem --profile=Win7SP1x64 svcscan

在这里插入图片描述
扩展:有没有发现,执行什么就改最后面那个就可以了

查看网络连接:volatility.exe -f image.vmem --profile=Win7SP1x64 netscan
查看历史cmd命令:volatility.exe -f image.vmem --profile=Win7SP1x64 cmdscan
查看进程命令行参数:volatility.exe -f image.vmem --profile=Win7SP1x64 cmdline
查找所有文件列表:volatility.exe -f image.vmem --profile=Win7SP1x64 filescan
相关信息匹配查询:volatility.exe -f image.vmem --profile=Win7SP1x64filescan | findstr ".txt\|.doc\|.zip\|.png"
查flag文件:volatility.exe -f image.vmem --profile=Win7SP1x64 filescan | findstr "flag" 
显示进程权限:volatility.exe -f image.vmem --profile=Win7SP1x64 privs
显示环境变量:volatility.exe -f image.vmem --profile=Win7SP1x64 envars

4.提取文件
在这里插入图片描述
使用dumpfiles提取文件
-Q的参数为 内存地址
–dump-dir的参数为导出文件的目录

volatility -f image.vmem --profile=Win7SP1x64 dumpfiles -Q 0x7a09f20 -D D:\网络安全\3.渗 透实战\CTF\内存取证\volatility_2.6_win64_standalone

使用010Editor打开文件(或者notepad++也可查看相应信息):

在这里插入图片描述
5.常用命令
查看用户名密码信息

volatility -f 1.vmem --profile=Win7SP1x64 hashdump

查看进程

volatility -f 1.vmem --profile=Win7SP1x64 pslist

查看服务

volatility -f 1.vmem --profile=Win7SP1x64 svcscan

查看浏览器历史记录

volatility -f 1.vmem --profile=Win7SP1x64 iehistory

查看网络连接

volatility -f 1.vmem --profile=Win7SP1x64 netscan

查看命令行操作

volatility -f 1.vmem --profile=Win7SP1x64 cmdscan

查看文件

volatility -f 1.vmem --profile=Win7SP1x64 filescan

查看文件内容

volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./

查看当前展示的notepad内容

volatility -f 1.vmem --profile=Win7SP1x64 notepad

提取进程

volatility -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./

屏幕截图

volatility -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./

查看注册表配置单元

volatility -f 1.vmem --profile=Win7SP1x64 hivelist

查看注册表键名

volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a001032410

查看注册表键值

volatility -f 1.vmem --profile=Win7SP1x64 printkey -K "xxxxxxx"

查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等

volatility -f 1.vmem --profile=Win7SP1x64 userassist

最大程序提取信息

volatility -f 1.vmem --profile=Win7SP1x64 timeliner

3.CTF练习:

例如:
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

是liku不是里库
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
Volatility-based technical analysis strategies for trading the invisible
04-07
关于量化交易的一本书。 R-Breaker的作者richard sandenberg在其中有一段代码
windows下的volatility的内存取证分析讲解
cuihua的博客
04-03 7581
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
ImpliedVolatility(2).zip_implied-volatility_impliedvolatility_vo
07-14
implied volatility for models
volatility_2.6_win64system_standalone.rar
10-08
内存取证分析工具volatility windows
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 5303
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
ctf -- 内存取证分析工具volatility的下载与安装+简单的使用
半岛铁盒的博客
06-16 1万+
你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以git clone下来: git clone https://github.com/volatilityfoundation/volatility.git 上面那个是本体的安装,需要安装一些插件 python setup.py build python setup.py install 安装setup-tools wget https://pypi.python.org/packages/45/29/8814bf414
内存取证volatility工具命令详解
最新发布
Y525698136的博客
01-04 1381
内存取证volatility工具命令详解
内存取证 volatility
07-12
内存取证 volatility
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
易于扩展:通过插件来扩展 Volatility分析能安装分为三步:下载安装必要的 python 依赖件安装本体你可以在 Release 中找到对应你系统(M
arma模型matlab代码-Predicting-stock-return-volatility-with-machine-learning
05-28
arma模型matlab代码通过机器学习预测股票收益波动率 我的硕士论文使用的代码 该代码用于我的硕士论文。 它借助以下深度学习网络预测股票收益波动:MLP-多层感知器JORDAN-Jordan网络ELMAN-Elman网络LSTM-长期短期记忆...
volatility-trading:基于Euan Sinclair的波动率交易的完整的波动率估计器
05-03
基于Euan Sinclair的Volatility Trading的完整的波动率估算器。 原始版本包含从Yahoo!Finance从pandas_datareader获得的网络数据。 雅虎! 更改了他们的API并破坏了pandas_datareader 。 所做的更改使您可以指定...
内存取证分析基础,命令整理,包含vol2和vol3
ntrybw的博客
09-11 3275
C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址)-s(SAM的virtual值)此命令能获取密码的hash值,但是我个感觉没什么用,不如直接hashdump。netscan链接协议,本地地址,链接状态,,监听端口。
volatility安装及使用
陈止风的博客
11-14 3万+
来源自我的博客 http://www.yingzinanfei.com/2016/09/22/volatilityanzhuangjishiyong/volatility地址:https://github.com/volatilityfoundation/volatility 直接使用volatility无需安装,解压后即可使用。 volatility的依赖包: # yum install pc
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证,取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
volatility安装在windows
06-28
### 回答1: 在 Windows 上安装 volatility 可以通过以下步骤进行: 1. 下载安装 Python,该软件是 volatility 的运行环境。 2. 下载 volatility 的源代码或者预编译的版本,然后解压。 3. 打开命令提示符,并进入到 volatility 的安装目录。 4. 运行命令: python setup.py install 5. 安装完成后,在命令提示符中输入 volatility 即可运行该软件。 ### 回答2: Volatility是一个用于内存分析的开源框架,可以用来提取运行中的操作系统的数据,以了解系统的状态、分析攻击事件和逆向病毒。本文将介绍如何在Windows操作系统上安装和使用Volatility。 1.环境准备 在安装Volatility之前,需要将安装路径添加到系统的环境变量中。可以在右键“计算机”->“属性”->“高级系统设置”->“环境变量”中找到。在“系统变量”中找到“Path”项,双击进行编辑,在最后加上Volatility的路径。 2. 安装Python Volatility需要Python 2.7.x的支持,所以要先在系统上安装Python。可以从Python官网下载安装包,按照安装提示进行安装即可。 3. 下载Volatility 可以从Volatility的官方网站https://www.volatilityfoundation.org/downloads下载最新版本的Volatility,也可以使用Git进行获取。下载后解压到任意目录。 4. 安装Volatility 打开命令提示符,进入到刚才解压的目录,运行以下命令进行安装:python setup.py install 5. 检查是否安装成功 在命令提示符中输入以下命令:volatility -h,命令行应该显示出帮助信息,表示Volatility已经成功安装。 6. 使用Volatility Volatility提供了非常丰富的命令行工具,可以使用命令行完成各种内存分析任务。需要注意的是,使用Volatility需要对操作系统的原理和内存分析有一定的了解。在使用之前,可以先阅读一些基础文档或者参加培训课程进行学习。 总之,如果您需要进行内存分析Volatility是一个非常不错的选择。通过上述的步骤,您可以在Windows操作系统上快速安装和使用Volatility。 ### 回答3: Volatility是一款用于分析内存映像的工具,可以帮助研究人员快速获得关于系统状态、进程信息、网络连接等方面的数据。在这里,我将详细介绍如何在Windows上安装Volatility。 1. 下载Python Volatility是基于Python开发的,因此在安装Volatility之前,需要先安装Python。可以从Python官网(https://www.python.org/downloads/windows/)下载适用于Windows的Python安装程序。 2. 安装pip pip是Python的一个软件包管理工具,可以帮助我们快速安装和管理Python软件包。在安装完成Python之后,需要在命令行中执行以下命令来安装pip: python get-pip.py 其中,get-pip.py是pip的安装程序,可以从https://bootstrap.pypa.io/get-pip.py 下载。 3. 安装Volatility 安装完了pip之后,就可以使用pip安装Volatility了。在命令行中执行以下命令: pip install volatility 这样,Volatility就安装完成了。 4. 选择扩展插件 在使用Volatility分析内存映像时,可能需要使用一些扩展插件,如:ProcDump、Malfind等。这些插件并不在Volatility的安装包中,需要手动下载并安装。可以选择到Volatility的官网(http://www.volatilityfoundation.org/releases)下载要使用的插件,下载后将其解压到Volatility的plugins目录中即可。 5. 开始使用Volatility 安装完Volatility和相关插件之后,就可以开始使用Volatility分析内存映像了。在命令行中执行以下命令: volatility -f memory.img imageinfo 其中,memory.img是要分析的内存映像文件,imageinfo是Volatility提供的一个命令,用于显示内存映像的元数据信息。 总结: 通过以上步骤,我们可以在Windows上成功地安装Volatility,并在命令行中使用其进行内存分析。需要注意的是,Volatility的使用需要一定的专业知识和技能,建议配合相关培训或资料,以免造成不必要的损失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是liku不是里库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值