- 内存取证
- Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统
- Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态
- 内存取证主要任务
- 抓取文件metadate
- 查看命令历史
- 分析日志文件
- 哈希摘要
- 转存内存信息
Volatility使用
- 使用imageinfo来猜测文件的profile值
volatility -f <文件名> imageinfo
- 如果猜测的值比较多例如Win7SP1x86_233418 Win7SP0x86 Win7SP1x86_24000 Win7SP1x86要验证系统正确可以使用命令
volatility -f mem.raw --profile=Win7SP0x86 volshell
使用pslist去列举 系统进程 这里可以使用pstree psscan pslist
volatility -f <文件名> --profile = Win7SP0x86 pslist
查看cmd历史命令
volatility cmdscan -f <文件名> --profile=Win7SP0x86
查看IE浏览器历史信息
volatility iehistory -f <文件名> --profile=Win7SP0x86
查看屏幕快照(截图)并将下载
volatility -f <文件名> --profile=Win7SP0x86 screenshot --dump-dir=./
下面展示volatility常用插件
- amcache
- 查看amcache应用程序痕迹信息
- amcache是资源管理缓存
- apihooks
- 检测内核及进程的内存空间中的API hook
- atoms
- 列出会话以及窗口站atom表
- Atom 表 是存储字符串和对应标识符的系统定义表
- atomscan
- Atom表的池扫描
- bioskbd
- 从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码)
- cachedump
- 获取内存中缓存的域账号的密码哈希
- callbacks
- 打印全系统通知历程
- clipboard
- 提取windows剪贴板中的内容
- cmdline
- 显示进程命令行参数
- cmdscan
- 提取执行的命令行历史记录
- connections
- 打印系统打开的网络连接
- connscan
- 打开TCP连接信息
- consoles
- 提取执行的命令行历史记录
- dlldump
- 从进程地址空间转储动态链接库
- dlllist
- 打印每个进程加载的动态链接库列表
- dumpcerts
- 提取RAS私钥以及SSL公钥
- dumpfiles
- 提取内存中映射或缓存的文件
- editbox
- 查看edit编辑控件信息
- envars
- 显示进程的环境变量
- evtlogs
- 提取windows事件日志
- filescan
- 提取文件对象池信息
- getsids
- 打印每个进程的SID信息
- handles
- 打印每个进程打开的句柄列表
- hashdump
- 转储内存中的windows账户密码哈希
- iehistory
- 重建ie缓存以及访问的历史记录
- malfind
- 搜索进程中隐藏或注入的DLL/代码