volatility介绍
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。
"食用"方法
判断镜像信息,获取操作系统类型
volatility -f ?.img/raw/... imageinfo
1
知道操作系统类型后,用–profile指定
volatility -f ?.img --profile=...
1
查看当前显示的notepad文本
volatility -f file.raw --profile=WinXPSP2x86 notepad
1
查看当前运行的进程
volatility -f file.raw --profile=WinXPSP2x86 psscan/pslist
1
扫描所有的文件列表(常常结合grep)
volatility -f file.raw --profile=WinXPSP2x86 filescan
1
根据offset提取出文件
volatility -f file.raw --profile=WinXPSP2x86 dumpfiles -D . -Q 0x.....
1
扫描 Windows 的服务
volatility -f file.raw --profile=WinXPSP2x86 svcscan
1
查看网络连接
volatility -f file.raw --profile=WinXPSP2x86 connscan
1
查看命令行上的操作
volatility -f file.raw --profile=WinXPSP2x86 cmdscan
1
根据pid dump出相应的进程
volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2580 -D 目录
1
常用命令
![](https://i-blog.csdnimg.cn/blog_migrate/aa4fd17a0862db31e639ff87c84f5850.png)
题目
湖湘杯(取证)
一个G的raw文件,工具分析就行了。
使用
#使用imageinfo参数查看内存是什么系统的镜像
volatility -f men.raw imageinfo #profile=Win7SP1x86_23418#直接查看用户名和密码hash
volatility -f men.raw --profile=Win7SP1x86_23418 hashdump
1234
然后看到三个用户