内存取证工具Volatility使用

已于 2022-08-15 18:59:21 修改
阅读量1.4k 收藏 6
点赞数 2
文章标签: python 开发语言
于 2022-08-15 18:57:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60923912/article/details/126352741
版权

可以用的文件后缀:.vmem / .dump / .raw / .img

vol.py --info 可以查看插件

  1. 识别操作系统的基本信息:

python2 vol.py mem.dump imageinfo

  1. 扫描进程:

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pslist

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pstree

  1. 扫描进程缓存的文件:

vol.py -f memory.raw --profile=Win7SP1x64 filescan

查找特定后缀的文件:

vol.py -f example.raw --profile=Win7SP1x64 filescan | grep -E 'txt|png|jpg|gif|zip|rar|7z|pdf|doc'

查找指定文件夹下的文件:

volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User

使用dumpfiles爆破文件内容:

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 --dump-dir=./

通过memdump爆破出进程对应的信息:

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 3036 --dump-dir=./

  1. 查看进程环境变量:

vol.py -f memory.raw --profile=Win7SP1x64 envars

  1. 扫描进程命令行参数:

vol.py -f memory.raw --profile=Win7SP1x64 cmdscan

vol.py -f memory.raw --profile=Win7SP1x64 cmdline

  1. 扫描动态库列表:

#可使用-p参数指定PID号

vol.py -f memory.img --profile=Win2003SP1x86 dlllist

vol.py -f memory.img --profile=Win2003SP1x86 ldrmodules

vol.py -f memory.img --profile=Win2003SP1x86 malfind

  1. 用户的用户名和密码(hash值):

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 hashdump

  1. 扫描注册表项:

vol.py -f OtterCTF.vmem --profile=Win7SP1x64 printkey

  1. 扫描注册表数据(键值):

vol.py -f memory.raw --profile=Win7SP1x64 hivelist

vol.py -f memory.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a001cce010(注册表Volatility地址)

  1. 查看网络连接状态:

vol.py -f memory.raw --profile=Win7SP1x64 svcscan

  1. 查看服务运行状态:

vol.py -f memory.raw --profile=Win7SP1x64 svcscan

  1. 查看浏览器历史记录:

vol.py -f 1.vmem --profile=Win7SP1x64 iehistory

  1. 查看当前展示的notepad的内容:

vol.py -f 1.vmem --profile=Win7SP1x64 notepad

  1. 提取进程:

vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./

  1. 获取屏幕截图:

vol.py -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./

  1. 查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等:

vol.py -f 1.vmem --profile=Win7SP1x64 userassist

  1. 最大程序提取信息:

vol.py -f 1.vmem --profile=Win7SP1x64 timeliner

调用插件:vol.py [plugins] -f example.raw --profile=Win7SP1x64 [插件名]

使用mimikatz插件快速获取用户密码:

vol.py --plugins=/home/kasm-user/Desktop/MD/volatility/volatility/plugins -f mem.dump --profile=Win7SP1x64 mimikatz

使用ndispktscan插件搜索内核的网络流量包信息:

vol.py --plugins=/home/kasm-user/Desktop/MD/volatility/volatility/plugins -f OtterCTF.vmem --profile=Win7SP1x64 ndispktscan

使用VolDiff进行恶意软件检测(单独使用)

goodlunatic
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
内存取证工具
09-30
使用文档+DumpIt+volatity 使用DumpIt获取物理内存,生成物理内存镜像文件,使用volatity对物理内存镜像文件进行分析
内存取证-volatility工具使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证例题及Volatility2.6的使用(含命令详细解析)
最新发布
焦虑的焦虑
06-01 1920
应急响应-内存镜像分析-进程分析-Volatility2.6使用
内存取证-volatility工具使用 (史上更全教程,更全命令)_volatility内存取证(3)
2401_85013565的博客
05-15 1229
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
内存取证-volatility工具使用 (史上更全教程,更全命令)_volatility内存取证(2)
2401_85013565的博客
05-15 785
amcache - 打印 AmCache 信息apihooks - 检测进程和内核内存中的 API 挂钩atoms - 打印会话和窗口站原子表atomscan - 原子表的池扫描器auditpol - 从 HKLM\SECURITY\Policy\PolAdtEv 打印出审计策略。
内存取证工具:MAGNET RAM Capture(v1.20)
12-01
内存取证工具-MAGNET RAM Capture,是由于取证公司MAGNET开发一款免费制作内存镜像的小工具,体积小、还可以对内存镜像设置分段。
内存取证 volatility
07-12
总的来说,Volatility是一个强大的内存取证工具,它能够帮助安全专家和法医分析师在复杂的安全事件中揭露关键信息。熟练掌握Volatility使用,不仅可以提高调查效率,还能为网络安全防御提供宝贵的情报。
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
内存取证工具及依赖.rar
08-17
在本压缩包文件"内存取证工具及依赖.rar"中,我们重点关注的是在Kali Linux环境中使用内存取证工具,这些工具依赖于Python 2版本。 Kali Linux是一款基于Debian的开源操作系统,专门设计用于网络安全测试和渗透...
volview软件+说明书
11-22
volview软件+说明书 做3D可视化开发的可以好好研究下
第二周——学习内存取证神器volatility使用
weixin_43721828的博客
03-18 2330
第二周——学习内存取证神器volatility使用 volatility -f mem.raw imageinfo#这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等 第一个就是最有可能的镜像文件的版本,最可能是Win7SP1x86_23418 Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search...
linux 内存取证_内存取证工具-volatility、foremost
weixin_39747630的博客
01-27 596
内存取证1. 内存取证工具volatility猜测dump文件的profile值root@kali:~/CTF# volatility -f mem.vmem imageinfoVolatility Foundation Volatility Framework 2.6INFO : volatility.debug : Determining profile based on KDBG...
内存取证工具Volatility学习
crowsec
09-14 6610
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。
取证内存取证工具Volatility学习
shy的博客
03-30 724
Volatility是一款开源的内存取证分析工具,支持WindowsLinuxMaCAndroid等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2python3环境。
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 6756
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
内存取证工具 volatility 使用说明
u014794949
03-29 5018
命令格式 volatility [plugin] -f [image] --profile=[profile] 在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统 volatility imageinfo -f file.raw 知道镜像后,就可以在 –profile 中带上对应的操作系统 常见的插件 查看当前展示的 notepad 文本 volatility notepad -f ...
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2212
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
windows2003内存取证
10-27
首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goodlunatic

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值