浅析Volatility内存取证

最新推荐文章于 2024-05-27 16:22:33 发布
最新推荐文章于 2024-05-27 16:22:33 发布
阅读量1k 收藏 3
点赞数 5
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60115503/article/details/124077964
版权
  • 内存取证
    • Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统
    • Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态
  • 内存取证主要任务
    • 抓取文件metadate
    • 查看命令历史
    • 分析日志文件
    • 哈希摘要
    • 转存内存信息

Volatility使用 

  • 使用imageinfo来猜测文件的profile值
  • volatility -f <文件名> imageinfo

  • 如果猜测的值比较多例如Win7SP1x86_233418 Win7SP0x86 Win7SP1x86_24000 Win7SP1x86要验证系统正确可以使用命令
volatility -f mem.raw --profile=Win7SP0x86 volshell

 使用pslist去列举 系统进程  这里可以使用pstree psscan pslist

volatility -f <文件名> --profile = Win7SP0x86 pslist

查看cmd历史命令

volatility cmdscan -f <文件名> --profile=Win7SP0x86

查看IE浏览器历史信息

volatility iehistory -f <文件名> --profile=Win7SP0x86

查看屏幕快照(截图)并将下载

volatility -f <文件名> --profile=Win7SP0x86 screenshot --dump-dir=./

下面展示volatility常用插件

  • amcache
    • 查看amcache应用程序痕迹信息
      • amcache是资源管理缓存
  • apihooks
    • 检测内核及进程的内存空间中的API hook
  • atoms
    • 列出会话以及窗口站atom表
      • Atom 表 是存储字符串和对应标识符的系统定义表
  • atomscan
    • Atom表的池扫描
  • bioskbd
    • 从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码)
  • cachedump
    • 获取内存中缓存的域账号的密码哈希
  • callbacks
    • 打印全系统通知历程
  • clipboard
    • 提取windows剪贴板中的内容
  • cmdline
    • 显示进程命令行参数
  • cmdscan
    • 提取执行的命令行历史记录
  • connections
    • 打印系统打开的网络连接
  • connscan
    • 打开TCP连接信息
  • consoles
    • 提取执行的命令行历史记录
  • dlldump
    • 从进程地址空间转储动态链接库
  • dlllist
    • 打印每个进程加载的动态链接库列表
  • dumpcerts
    • 提取RAS私钥以及SSL公钥
  • dumpfiles
    • 提取内存中映射或缓存的文件
  • editbox
    • 查看edit编辑控件信息
  • envars
    • 显示进程的环境变量
  • evtlogs
    • 提取windows事件日志
  • filescan
    • 提取文件对象池信息
  • getsids
    • 打印每个进程的SID信息
  • handles
    • 打印每个进程打开的句柄列表
  • hashdump
    • 转储内存中的windows账户密码哈希
  • iehistory
    • 重建ie缓存以及访问的历史记录
  • malfind
    • 搜索进程中隐藏或注入的DLL/代码

QiaN_djx
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility内存取证
wha1e的博客
02-07 8811
取证在CTF中占比越来越大,甚至某些比赛中misc全是取证。在之前的比赛中wha1e表示束手无策很难受,所以乘着实习摸鱼期间学习了一下。
内存取证——volatility学习
最新发布
m0_75236662的博客
05-27 708
在做计算机最后两道题目碰到了MP3格式的镜像,分析发现是计算机内存,要进行内存取证。现在内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件通过盘古石比赛了解了内存取证类型的题目,在看别人题解的时候发现volatility为主流分析工具,安装后大致了解了操作流程和功能点。
内存取证-volattlity
5L2g556F5ZWl77yf
09-30 4768
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/archive/p/volatility/ 安装: kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v
vol内存取证
Windy's blog
02-16 278
内存取证
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
内存取证volatility工具命令详解
Y525698136的博客
01-04 2258
内存取证volatility工具命令详解
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility 内存取证的简单用法
西部壮仔的博客
04-09 1192
下载volatility apt-get install volatility 检测目标系统信息 volatility -f win7.raw imageinfo 查看运行的进程信息 volatility -f win7.raw --profile=Win7SPIx64 pslist 3.查看文件列表 volatility -f win7.raw --profile=Win7SPIx...
MoonSols && Volatility 内存取证分析(二.搜寻进程的足迹)
一介渔夫
08-04 4621
进程的源头------>_EPEOCESS结构: 1.(仅限于内核模式)调用PsGetCurrentProcess取得一个指向当前进程的_EPROCESS指针.遍历其中的LIST_ENTRY成员即可获得当前运行的进程. 2.用户模式下可以调用原生模式的API函数,比如使用SystemProcessInformation类调用NtQuerySystemInformation函数,
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
2401_85013565的博客
05-15 1204
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
内存取证
人饭子的博客
10-30 1300
内存取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取重要信息。 相关文章 计算机内存取证技术 数字取证-死活取证 Linux Forensics Series Chapter 1 — Memory Forensics 使用工具进...
RetroScope工具:Android设备内存取证 (MD)
BreakingPoint
08-09 1891
RetroScope工具的下载、编译和启动,参考博客: http://blog.csdn.net/rzwinters/article/details/77003230 1 根据源码分析RetroScope工具的使用方法 (1)运行emulator-MAGIC模拟器。 (2)开启另一个终端,执行命令: $ adb logcat | grep -E "RetroScope|ZMB"
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,需要了解Windows 2003操作系统的内存管理机制和数据结构。这样可以更好地理解内存中存储的数据的结构和格式,有助于提取和解释相关证据。例如,Windows 2003使用的是物理内存和虚拟内存的管理方式,需要理解这两种内存的分配与释放机制。 此外,还需要注意在进行内存取证时可能遇到的一些挑战和限制。例如,Windows 2003在32位系统上的内存限制为4GB,如果目标系统中的内存大于4GB,可能需要采取特殊的处理方式。另外,操作系统的版本和补丁等也会影响内存数据的分析和提取。 最后,进行内存取证时需要保持数据的完整性和可靠性,确保所提取的证据在法庭上具有可信度。因此,需要采用专业的取证工具和方法,并遵循取证规范和程序进行操作,记录下相关的过程和操作步骤。 综上所述,Windows 2003内存取证是通过分析和提取内存数据来获取相关证据的过程,需要借助专门的工具和技术,同时需要了解操作系统的内存管理机制和数据结构,保证数据的完整性和可靠性。这一过程在数字取证领域具有重要的应用价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值