内存取证神器Volatility常用指令大全

已于 2022-11-09 22:41:07 修改
阅读量3.3k 收藏 35
点赞数 3
分类专栏: 电子取证 文章标签: 网络 linux 网络安全 安全 系统安全
于 2022-08-11 09:07:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43678263/article/details/126277999
版权

内存取证神器Volatility常用指令大全

具体指令开头部分根据Volatility版本做修改即可

查找文件
volatility -f 19.mem --profile=Win7SP1x86_23418 filescan | grep “Information.xlsx”

列举注册表
volatility -f neicun.mem --profile=Win7SP1x64 hivelist

查询cmd指令
volatility -f neicun.mem --profile=Win7SP1x64 cmdline | grep “jdk1.8.0”

查看网络通讯
volatility -f neicun.mem --profile=Win7SP1x64 netscan

查看系统用户名
volatility -f neicun.mem --profile=Win7SP1x64 printkey -K “SAM\Domains\Account\Users\Names”

查看用户密码的哈希
volatility -f neicun.mem --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a000300010

查看导出文件
volatility -f neicun.mem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e4e5070 -D /root/

查看进程(pslist)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 pslist > win7_sp1_x86_pslist.txt

进程树形查看方式
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 pstree

查看隐藏进程
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 psxview

查看网络通讯连接(netscan)–类似Windows命令 netstat -an
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 netscan > win7_sp1_x86_NetScan.txt

查看Windows帐户密码Hash(haspdump)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 hashdump > win7_sp1_x86_hashdump.txt

查看UserAssist应用程序运行记录
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 userassist > win7_sp1_x86_UserAssist.txt

查看进程对应的SID(含用户名)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 getsids > win7_sp1_x86_GetSID.txt

查看Windows系统挂载的注册表配置单元列表
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 hivelist

导出内存中的注册表配置单元数据(可在取证软件中再次分析)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 dumpregistry --dump-dir=K:\volatility

查看内存中IE访问历史记录
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 iehistory > win7_sp1_x86_IE_History.txt

查看应用程序运行记录(ShimCache)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 shimcache > win7_sp1_x86_shimecache.txt

查看系统服务列表及状态
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 svcscan > win7_sp1_x86_ServiceList.txt

导出事件时间线信息(用于基于时间顺序的事件分析)
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 timeliner > win7_sp1_x86_TimeLineEvent.txt

查看VAD信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 vadinfo > win7_sp1_x86_VAD_info.txt

查看yara信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 yarascan > win7_sp1_x86_yarascan.txt

查看剪贴板(Clipboard)信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 clipboard > win7_sp1_x86_Clipboard.txt

查看进程加载的DLL动态链接库
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 dlllist > win7_sp1_x86_DllList.txt

查看GDT信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 gdt> win7_sp1_x86_GDT.txt

查看Sockets连接
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 sockets > win7_sp1_x86_Sockets.txt (Win7SP1x86不支持)

volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 sockscan > win7_sp1_x86_SockScan.txt (Win7SP1x86不支持)

查看SSDT表
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 ssdt > win7_sp1_x86_SSDT.txt

volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 eventhooks

查看内存中MFT记录信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 mftparser > win7_sp1_x86_MFT_Records.txt

volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 mftparser --output-file=mftverbose.txt -D mftoutput

查看磁盘MBR扇区信息
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 mbrparser > win7_sp1_x86_MBR_Sector.txt

volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 servicediff > win7_sp1_x86_ServiceDiff.txt

volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 hibinfo (Win7SP1x86不支持)

查看打开的文件夹列表
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 shellbags > win7_sp1_x86_shellbags.txt

查看系统最后一次关机时间
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 shutdowntime

获取域缓存密码hash
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 cachedump

获取RSA私钥和SSL公钥
volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 dumpcerts --dump-dir=K:\volatility

volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 volshell

volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 truecryptmaster

volatility_2.6_win64_standalone -f win7.vmem --profile=Win7SP1x86 truecryptpassphrase

youhao108
关注
  • 3
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
内存取证volatility工具命令详解
Y525698136的博客
01-04 2216
内存取证volatility工具命令详解
记录一次内存取证
最新发布
2401_84434570的博客
05-28 722
我姐姐的电脑坏了。我们非常幸运地恢复了这个内存转储。你的工作是从系统中获取她所有的重要文件。根据我们的记忆,我们突然看到一个黑色的窗口弹出,上面有一些正在执行的东西。崩溃发生时,她正试图画一些东西。这就是我们从崩溃时所记得的一切。注意:此挑战由 3 个flag组成。获取到flag:flag{th1s_1s_th3_1st_st4g3!!!mspaint.exe 为windows自带画图工具,为PID 2424的mspaint.exe程序以dmp格式保存出来就可以了。
volatility常用的命令
菜菜的博客
09-30 2239
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
内存取证解题过程--Volatility常用命令
weixin_43891422的博客
08-07 5046
内存取证 所需软件: Linux平台下的Volatility,Windows平台下的010 Editor和Stegsolve 安装方法: Volatility在Ubuntu下安装命令:sudo apt install volatility Stegsolve在Github地址:https://github.com/Giotino/stegsolve 题目: https://share.weiyun.com/Y3B9kf0W 解题过程: 查看内存镜像信息: volatility -f zy.raw imag
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
Volatility内存取证大杀常用的命令
08-05
Volatility内存取证大杀常用命令,一般都只用这些,超级实惠
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
内存取证-volatility工具的使用 (史上更全教程,更全命令)
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility 基本用法
xuqi7
10-22 1万+
volatility---基本用法 Keyword: forensic 取证 官网: https://www.volatilityfoundation.org/ github地址: https://github.com/volatilityfoundation/volatility wiki: https://github.com/volatilityfoundation/volatility/wiki
内存取证——volatility命令
Lemon's blog
11-05 9359
文章目录前言常用命令0x01:查看镜像系统0x02:列举进程0x03:列举注册表0x04:获取浏览浏览历史0x05:扫描文件0x06:列举用户及密码0x07:获取屏幕截图0x08:其他命令总结 前言 经常遇到内存取证的题目,就把volatility一些常见的命令给总结下来,方便之后自己的做题。 常用命令 0x01:查看镜像系统 volatility -f 1.raw imageinfo 支持的系统中有Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, W
volatility内存取证----命令演示
热门推荐
Battery的博客
05-11 11万+
介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。 volatility的安装 以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3 下载链接:https://www.volatilityfoundation.org/releases 下载好之后直接到根目录直接运行vol.py
服务取证--linux操作命令
MichealCurry1的博客
10-14 2713
1.查看系统版本 cat /etc/redhat-release 2.查看内核版本 uname -a uname -sr 3.LVM LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管理的灵活性。 LVM的工作原理其实很简单,它就是通过将底层的物理硬盘抽象的封装起来,然后以逻辑卷的方式呈现给上层应用。在传统的磁盘管理机制中,我们的上层应用是直接访问文件系统,从而对底.
内存取证volatility常用命令
shshshsh_的博客
11-09 796
volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址。volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址。这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 2189
南华城里月如昼,十二玉楼非吾乡
windows2003内存取证
10-27
首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

youhao108

行行好吧,揭不开锅了~QAQ

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值