内存取证——volatility命令

最新推荐文章于 2025-04-09 08:16:29 发布

lemonl1

最新推荐文章于 2025-04-09 08:16:29 发布

阅读量9.9k

点赞数 13

分类专栏：取证分析文章标签： linux windows

本文链接：https://blog.csdn.net/qq_43431158/article/details/109462833

版权

文章目录

前言
- 常用命令
总结

前言

经常遇到内存取证的题目，就把volatility一些常见的命令给总结下来，方便之后自己的做题。

常用命令

0x01:查看镜像系统

volatility -f 1.raw imageinfo

在这里插入图片描述
支持的系统中有Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86，要验证那一个系统正确，可以使用命令：

#调出shell窗口，如果正确的话便可以getshell
volatility -f 1.raw --profile=Win7SP0x86 volshell
#shell命令：
dt("内核关键数据结构名称")
dt("_PEB")

在这里插入图片描述
得到正确的镜像系统后，便可以在后面加上

--profile=Win7SP0x86

0x02:列举进程

volatility -f 1.raw --profile=Win7SP0x86 pslist

在这里插入图片描述
除此之外，与其类似的还有pstree，可以识别子进程和父进程，且可以显示出被隐藏的病毒

volatility -f

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

lemonl1

关注关注

13
点赞
踩
64

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

内存取证——基础知识（volatility内存取证）

记录并分享学习安全的知识点..

01-11

1465

内存取证——基础知识（volatility内存取证）

内存取证——ABC包

panda.

11-29

603

1、获取数据包的镜像信息 2、获取主机名字 3、列出文件中曾使用的进程信息题目要求我们去查看管理员的信息使用命令查找列出有关管理员的信息继续操作（这里发现管理员注册表）这个文件里存放着管理员的一些基本信息已发现此的虚拟地址打开查看 4、获取管理员用户密码这里可以看到是这条注册表记录接下来指定查看信息可以看到这里面有三个用户但admin和guest是默认的有权限的用户所以这里只能是okra是给予的超级用户权限接下来获取这个用户的hash值我们要求的是okra这个用户

参与评论您还未登录，请先登录后发表或查看评论

volatility内存取证命令合集

01-10

volatility内存取证命令合集，原版volatility内存取证CheatSheet，赶紧学习一波！

内存取证软件 Volatility等

04-16

计算机取证技术可以在案件发生以后，采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析，从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一，本文件包含各类取证工具及其简单使用与分析文档。

内存取证volatility常用命令

最新发布

qq_63449412的博客

04-09

484

查看当前内存镜像中的用户。：查看网络连接获取当前系统。：查看命令行操作，显示。：列出注册表配置单元。：查看用户名密码信息。

volatility常用的命令

菜菜的博客

09-30

2577

Volatility是一款开源的内存取证分析工具，支持Windows，Linux，MaC，Android等多类型操作系统系统的内存取证方式。该工具是由python开发的，内存取证工具

linux volatility 命令合集

09-06

linux volatility 内存镜像获取命令大全，亲自实践之后总结归纳得出来的详细版本，大家可以学习学习。kali中集成了volatility，可以下载使用

内存取证解题过程--Volatility常用命令

weixin_43891422的博客

08-07

6471

内存取证所需软件: Linux平台下的Volatility，Windows平台下的010 Editor和Stegsolve 安装方法： Volatility在Ubuntu下安装命令：sudo apt install volatility Stegsolve在Github地址：https://github.com/Giotino/stegsolve 题目： https://share.weiyun.com/Y3B9kf0W 解题过程：查看内存镜像信息： volatility -f zy.raw imag

内存取证——volatility

苟有恒，必有三更眠，五更起。

11-04

2万+

内存取证——volatility0x00最近没有做题，之前放掉的一个杂项题，现在重新看看。0x01通过hint，了解到内存取证这个神奇的东西，那么不急着做题，先把这个研究研究。0x02内存取证，是指利用将内存进程写入镜像文件，通过镜像文件查看之前内存进程的一些信息。（个人理解，欢迎纠正）这里主要使用工具——volatility.0x03工具介绍：volatilityvolatility是一款开源的...

Kali linux 学习笔记（八十七）计算机取证——工具（dumpit、volatility） 2020.4.22

闵行小鱼塘

04-22

7766

本节学习计算机取证工具，不考虑法律因素、法庭证据、监管链、文档记录等环节，只学习kali中部分取证工具

内存取证工具——volatility 常用命令

mid2dog

09-01

1万+

我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件前言红帽杯里也做到过内存取证，取证的课又重温了一遍，于是就准备把常用命令记下来。正文猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到知道系统后，之后的命令就都加上这一段即可 –pro

volatility内存取证----命令演示

热门推荐

Battery的博客

05-11

13万+

介绍：取证题在ctf中占比越来越大，作为新入ctf的我来说，打的几场ctf几乎每次都有取证题，之前的比赛也都是无可奈何，终于沉下心认真复现了一道题目。 volatility的安装以前的老版本kali有自带的volatility，所以能够直接使用，但是现在的版本基本上都需要自己下载安装了，主要是依赖于python环境安装，需要一些库，建议使用python3 下载链接：https://www.volatilityfoundation.org/releases 下载好之后直接到根目录直接运行vol.py

内存取证神器Volatility常用指令大全

qq_43678263的博客

08-11

3799

内存取证神器Volatility常用指令大全

Volatility使用教程

weixin_46729014的博客

12-05

1063

在这得到文件可能所属的系统信息⚠️如果最后提交的是时间，系统默认是格林尼治时间，要修改为东八区时间–>格林尼治时间+8小时。

内存取证volatility工具命令详解

渗透测试研究中心

12-02

2958

一、环境安装 1.kali下安装Volatility2 注意：一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...

内存取证-volatility工具的使用（史上更全教程，更全命令）

路baby的博客

10-20

10万+

内存取证-volatility工具的使用（史上更全教程，更全命令）安装步骤命令解析工具插件分析例题讲解

内存取证-volattlity

5L2g556F5ZWl77yf

09-30

6727

Volatility是开源的Windows，Linux，MaC，Android的内存取证分析工具，由python编写成，命令行操作，支持各种操作系统。项目地址： https://code.google.com/archive/p/volatility/ 安装： kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v

Volatility2.6内存取证工具安装及入门

Geek极安云科-致力于网络安全事业

05-11

1万+

Volatility 是一个完全开源的工具，用于从内存 (RAM) 样本中提取数字工件。支持Windows，Linux，MaC，Android等多类型操作系统系统的内存取证。那么针对竞赛这块（CTF、技能大赛等）基本上都是用在Misc方向的取证题上面，很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然，这款工具在安装的时候也是非常难受，一大堆报错会让你很崩溃，但是你搞定这些事后对你的取证赛题将会突飞猛进！后续我也会更新解决各种疑难杂症报错的解决方案给大家。