取证工具Volatility-2.1使用方法

1、首先下载python，然后解压安装完成后，设置环境变量。

2、根据自己电脑的系统下载volatility，网址：http://www.volatilityfoundation.org/releases，然后解压即可。

3、用DumpIt工具（是内存副本获取工具）生成主机的物理内存镜像。解压DumpIt后，双击DumpIt.exe可执行程序，并在提示问题后面输入y，等待几分钟时间即可在当前目录下生成主机物理内存的副本，该副本文件是以*.raw为后缀的镜像文件，我们取证的对象就是这个内存镜像。

4、然后开始就可以开始使用volatility的命令了。

-h或者-help能够查看volatility的功能选项以及所有的可支持的插件命令。如下图：

目前能用的命令有：imageinfo、kpcrscan、dlllist、filescan、handles、modscan、netscan、pslist、pstree。

（1）Imageinfo命令：用于查看我们正在分析的内存样本的摘要信息。具体来说显示主机所使用的操作系统版本、服务包以及硬件结构(32位或64位)、页目录表的起始地址和该获取该内存镜像的时间等基本信息。使用方法如下：

其中以.raw后缀的文件名就是本机的内存镜像。>imageinfo.txt是把imageinfo命令取得的信息定向的存在imageinfo.txt的文件中。

 

（2）kpcrscan命令：用于查找内存中用于定义内核处理器控制区域（KPCR）的_KPCR结构体信息，具体来说，可以显示每个处理器的详细信息，包括IDT（线程控制符）和GDT（全局段描述符表）地址，当前运行的线程和空闲线程，CPU数量、制造厂商及其速度，CR3寄存器或页目录表基地址的值等信息。该命令的使用方法要用到imageinfo取得的profile信息:

这两个命令运行的时间可能会较长，请耐心等待。

 

（3）dlllist命令：能够显示一个进程装载的动态链接库的信息，其显示列表主要包括加载的动态链接库文件的基地址、文件大小以及文件所在路径。

（4）filescan命令：此命令将显示系统上的打开的文件，包括已被恶意软件隐藏的文件。

（5）handles命令：显示在一个进程中打开的处理。

（6）modscan命令：扫描_ldr_data_table_entry对象的物理内存。显示内核的驱动程序，包括已隐藏/链接的。

（7）netscan命令：发现TCP / UDP端点和监听器。这个命令将显示一个主动网络连接的列表。

（8）pslist命令：可以枚举系统中的进程，这条命令通过遍历PsActiveProcessHead指针指向的双向链表枚举当前内存中活跃的所有进程信息，主要包括偏移地址、进程ID号、父进程ID号、线程数量、句柄数量、进程会话ID号以及进程开始和退出的时间。

（9）pstree命令：这个命令显示跟pslist一样的信息，只是以树的形式。

以上命令的使用方法同kpcrscan命令。

PS：此文章写于2016年11月做个人电脑操作取证的时候整理的，现在要找实习了回顾一下以前做的工作，顺便发出来供大家参考讨论。