关于我在windows使用volatility取证这档事

最新推荐文章于 2024-06-02 14:46:35 发布
最新推荐文章于 2024-06-02 14:46:35 发布
阅读量6.3k 收藏 25
点赞数 7
分类专栏: kali工具使用 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011250160/article/details/120461405
版权

官网下载地址:https://www.volatilityfoundation.org/releases

volatility3的官方文档:https://volatility3.readthedocs.io/en/latest/basics.html

下载

看清有两个版本,用法不一样

在这里插入图片描述
第一次我下载了Volatility 2.6 Windows Standalone Executable (x64)
结果执行Volatility.exe老是报出error
然后我果断删除了2.6
下载了3.0

版本差异

在这里插入图片描述而volatility2的用法如下

volatility -f 'Windows 7-dde00fa9.vmem' imageinfo

volatility3插件功能

下面使用python vol.py -h看volatility3的插件都有哪些
下面插件只是简单罗列,准备再写一篇文章单独介绍

plugin
    banners.Banners     
    configwriter.ConfigWriter
    frameworkinfo.FrameworkInfo 
    isfinfo.IsfInfo   
    layerwriter.LayerWriter
    linux.bash.Bash     
    linux.check_afinfo.Check_afinfo
    linux.check_creds.Check_creds
    linux.check_idt.Check_idt
    linux.check_modules.Check_modules
    linux.check_syscall.Check_syscall  
    linux.elfs.Elfs  
    linux.keyboard_notifiers.Keyboard_notifiers 
    linux.lsmod.Lsmod 
    linux.lsof.Lsof    
    linux.malfind.Malfind
    linux.proc.Maps    
    linux.pslist.PsList
    linux.pstree.PsTree
    linux.tty_check.tty_check
    mac.bash.Bash      
    mac.check_syscall.Check_syscall
    mac.check_sysctl.Check_sysctl
    mac.check_trap_table.Check_trap_table
    mac.ifconfig.Ifconfig
    mac.kauth_listeners.Kauth_listeners
    mac.kauth_scopes.Kauth_scopes
    mac.kevents.Kevents
    mac.list_files.List_Files
    mac.lsmod.Lsmod     
    mac.lsof.Lsof       
    mac.malfind.Malfind
    mac.mount.Mount    
    mac.netstat.Netstat
    mac.proc_maps.Maps  
    mac.psaux.Psaux     
    mac.pslist.PsList   
    mac.pstree.PsTree  
    mac.socket_filters.Socket_filters
    mac.timers.Timers   
    mac.trustedbsd.Trustedbsd
    mac.vfsevents.VFSevents
    timeliner.Timeliner
    windows.bigpools.BigPools
    windows.cmdline.CmdLine
    windows.dlllist.DllList
    windows.driverirp.DriverIrp
    windows.driverscan.DriverScan
    windows.dumpfiles.DumpFiles
    windows.envars.Envars
    windows.filescan.FileScan
    windows.getservicesids.GetServiceSIDs
    windows.getsids.GetSIDs
    windows.handles.Handles
    windows.info.Info   
    windows.malfind.Malfind
    windows.memmap.Memmap
    windows.modscan.ModScan
    windows.modules.Modules
    windows.mutantscan.MutantScan
    windows.netscan.NetScan      
    windows.poolscanner.PoolScanner
    windows.privileges.Privs
    windows.pslist.PsList
    windows.psscan.PsScan
    windows.pstree.PsTree
    windows.registry.certificates.Certificates
    windows.registry.hivelist.HiveList
    windows.registry.hivescan.HiveScan
    windows.registry.printkey.PrintKey
    windows.registry.userassist.UserAssist
    windows.ssdt.SSDT   
    windows.statistics.Statistics
    windows.strings.Strings           
    windows.symlinkscan.SymlinkScan
    windows.vadinfo.VadInfo
    windows.verinfo.VerInfo
    windows.virtmap.VirtMap
                       

The following plugins could not be loaded (use -vv to see why):
volatility3.plugins.windows.cachedump, volatility3.plugins.windows.callbacks,
volatility3.plugins.windows.hashdump, volatility3.plugins.windows.lsadump,
volatility3.plugins.windows.svcscan, volatility3.plugins.windows.vadyarascan,
volatility3.plugins.yarascan

注意最下面提示有一些插件不能加载
使用-vv查看原因

python vol.py -vv

Volatility 3 Framework 1.0.0
INFO     root        : Volatility plugins path: ['D:\\Tools\\volatility3-1.0.0\\volatility3\\plugins', 'D:\\Tools\\volatility3-1.0.0\\volatility3\\framework\\plugins']
INFO     root        : Volatility symbols path: ['D:\\Tools\\volatility3-1.0.0\\volatility3\\symbols', 'D:\\Tools\\volatility3-1.0.0\\volatility3\\framework\\symbols']
INFO     volatility3.plugins.yarascan: Python Yara module not found, plugin (and dependent plugins) not available
DEBUG    volatility3.framework: No module named 'yara'
DEBUG    volatility3.framework: Failed to import module volatility3.plugins.yarascan based on file: yarascan
DEBUG    volatility3.framework: No module named 'Crypto'
DEBUG    volatility3.framework: Failed to import module volatility3.plugins.windows.cachedump based on file: windows\cachedump
INFO     volatility3.plugins.yarascan: Python Yara module not found, plugin (and dependent plugins) not available
DEBUG    volatility3.framework: No module named 'yara'
DEBUG    volatility3.framework: Failed to import module volatility3.plugins.windows.callbacks based on file: windows\callbacks
DEBUG    volatility3.framework: No module named 'Crypto'
DEBUG    volatility3.framework: Failed to import module volatility3.plugins.windows.hashdump based on file: windows\hashdump
DEBUG    volatility3.framework: No module named 'Crypto'
DEBUG    volatility3.framework: Failed to import module volatility3.plugins.windows.lsadump based on file: windows\lsadump
INFO     volatility3.plugins.yarascan: Python Yara module not found, plugin (and dependent plugins) not available
DEBUG    volatility3.framework: No module named 'yara'
DEBUG    volatility3.framework: Failed to import module volatility3.plugins.windows.svcscan based on file: windows\svcscan
INFO     volatility3.plugins.yarascan: Python Yara module not found, plugin (and dependent plugins) not available
DEBUG    volatility3.framework: No module named 'yara'
DEBUG    volatility3.framework: Failed to import module volatility3.plugins.windows.vadyarascan based on file: windows\vadyarascan
INFO     root        : The following plugins could not be loaded (use -vv to see why): volatility3.plugins.windows.cachedump, volatility3.plugins.windows.callbacks, volatility3.plugins.windows.hashdump, volatility3.plugins.windows.lsadump, volatility3.plugins.windows.svcscan, volatility3.plugins.windows.vadyarascan, volatility3.plugins.yarascan
usage: ....................
volatility: error: Please select a plugin to run

这些提示说缺少一些模块
下面就安装模块

安装依赖包

在这里插入图片描述
然后有提示我们pip该升级了。。。
并不是啰嗦,是想尽可能解决一些新手碰到不会处理的问题
然后再安装模块
在这里插入图片描述装完模块再次查看插件发现报错了

在这里插入图片描述

查找问题

这是官方给出的依赖包
在这里插入图片描述

而我们之前安装的模块

在这里插入图片描述
因为版本相差太多,猜测我们安装错了
先卸载这两个模块
在这里插入图片描述
在这里插入图片描述

试试看有没有官网这个模块yara-python
发现有这个模块
在这里插入图片描述
然后运行volatility测试这个是不是它要求的模块

在这里插入图片描述发现现在它只提示我们缺少Crypto模块
之前先卸载这个模块是为了控制变量
选择再安装Crypto模块
在这里插入图片描述结果是安装成功,仍然提示缺少模块
根据官方的说法,它还需要一个依赖包capstone
那就安装它试试

在这里插入图片描述
说明这个模块不是我们想要的
经过搜索发现还有个模块叫pycrypto
然而安装的时候报错
说缺少Microsoft C++ Build Tools

在这里插入图片描述
在这里插入图片描述

接下去linux系统来验证我的猜想
在这里插入图片描述安装模块成功,并且不再提示缺少模块
抱怨:所以最讨厌在windows上搞一些编程

总结

坑1,它提示我们缺少下面这两个模块
在这里插入图片描述
其实我们需要安装的是这两个模块
yara-python和pycrypto
坑2,windows编程老是出现各种各样的问题

VVeaker
关注
  • 7
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
内存取证 volatility
07-12
内存取证 volatility
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
volatility安装的各种报错问题
kinakouni的博客
02-21 1278
volatility报错的各种问题
windowsvolatility3-2.7.0内存取证工具安装及遇到的问题解决方法
最新发布
weixin_44697846的博客
06-02 1403
windowsvolatility3-2.7.0内存取证工具安装及问题解决方法
Volatility3用法
江左盟的博客
05-24 1万+
简介 Volatility3是对Volatility2的重写,它基于Python3编写,对Windows 10的内存取证很友好,且速度比Volatility2快很多。对于用户而言,新功能的重点包括:大幅提升性能,消除了对--profile的依赖,以便框架确定需要哪个符号表(配置文件)来匹配内存示例中的操作系统版本,在64位系统(例如Window的wow64)上正确评估32位代码,自动评估内存中的代码,以避免对分析人员进行尽可能多的手动逆向工程。对于开发人员:更加轻松地集成到用户的第三方接口和库中,广泛的A
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
windows下的volatility的内存取证分析与讲解
cuihua的博客
04-03 8059
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
volatility安装和出现的问题及解决方法
clotten的博客
12-10 2648
volatility安装和出现的问题及解决方法
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility linux 计算机取证
07-11
在实际的计算机取证过程中,Volatility使用通常伴随着其他工具,如内存镜像获取工具(如dd或memdump)和数据分析工具。在分析过程中,可能需要结合日志文件、注册表项、网络流量记录等多种数据源,以全面理解系统...
volatility_2.6_win64system_standalone.rar
10-08
本文将详细介绍Volatility 2.6 Windows版及其在内存取证中的应用。 Volatility 2.6是该工具的一个稳定版本,专门针对Windows系统进行优化。它能够帮助分析师在不依赖原始主机的情况下,从内存转储文件中提取出关键...
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 6765
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
volatility安装及使用
陈止风的博客
11-14 3万+
来源自我的博客 http://www.yingzinanfei.com/2016/09/22/volatilityanzhuangjishiyong/volatility地址:https://github.com/volatilityfoundation/volatility 直接使用volatility无需安装,解压后即可使用volatility的依赖包: # yum install pc
Volatility3 windows插件详解
u011250160的博客
09-26 4107
发现三个系统加起来太tm多了 先搞windows 剩下的有缘再见 banners.Banners 识别linux镜像的banner信息 不识别windows的镜像 isfinfo.IsfInfo 确定当前可用的ISF文件 具体什么是ISF文件,我也没查到 如下 layerwriter.LayerWriter Runs the automagics and writes out the primary layer produced by the stacker. 运行 automagics 并写出堆栈器产
Volatility Windows 下载及使用の小结
这个人很懒,什么都懒得写
05-03 4083
首先进入网站进行下载: Volatility 2.6 Release 选择第一个进行下载 这时候将将镜像移动到同一目录下 第一次用,没什么经验,以为双击打开volatility 2.6就可以直接使用了 但没想到会闪退报错: 使用cmd命令行可以解决该问题: 在此输入cmd打开,问题解决~ ...
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
电子取证--windows下的volatility分析与讲解
LCW991207的博客
12-04 1088
CTF--电子取证--windows下的volatility分析与讲解。
windows安装Volatility3
weixin_74062643的博客
03-26 882
windows安装Volatility3
利用Volatility进行Windows内存取证分析(一):初体验
Fly_鹏程万里
05-16 9088
简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,...
volatility安装在windows
06-28
### 回答1: 在 Windows 上安装 volatility 可以通过以下步骤进行: 1. 下载安装 Python,该软件是 volatility 的运行环境。 2. 下载 volatility 的源代码或者预编译的版本,然后解压。 3. 打开命令提示符,并进入到 volatility 的安装目录。 4. 运行命令: python setup.py install 5. 安装完成后,在命令提示符中输入 volatility 即可运行该软件。 ### 回答2: Volatility是一个用于内存分析的开源框架,可以用来提取运行中的操作系统的数据,以了解系统的状态、分析攻击件和逆向病毒。本文将介绍如何在Windows操作系统上安装和使用Volatility。 1.环境准备 在安装Volatility之前,需要将安装路径添加到系统的环境变量中。可以在右键“计算机”->“属性”->“高级系统设置”->“环境变量”中找到。在“系统变量”中找到“Path”项,双击进行编辑,在最后加上Volatility的路径。 2. 安装Python Volatility需要Python 2.7.x的支持,所以要先在系统上安装Python。可以从Python官网下载安装包,按照安装提示进行安装即可。 3. 下载Volatility 可以从Volatility的官方网站https://www.volatilityfoundation.org/downloads下载最新版本的Volatility,也可以使用Git进行获取。下载后解压到任意目录。 4. 安装Volatility 打开命令提示符,进入到刚才解压的目录,运行以下命令进行安装:python setup.py install 5. 检查是否安装成功 在命令提示符中输入以下命令:volatility -h,命令行应该显示出帮助信息,表示Volatility已经成功安装。 6. 使用Volatility Volatility提供了非常丰富的命令行工具,可以使用命令行完成各种内存分析任务。需要注意的是,使用Volatility需要对操作系统的原理和内存分析有一定的了解。在使用之前,可以先阅读一些基础文档或者参加培训课程进行学习。 总之,如果您需要进行内存分析,Volatility是一个非常不错的选择。通过上述的步骤,您可以在Windows操作系统上快速安装和使用Volatility。 ### 回答3: Volatility是一款用于分析内存映像的工具,可以帮助研究人员快速获得关于系统状态、进程信息、网络连接等方面的数据。在这里,我将详细介绍如何在Windows上安装Volatility。 1. 下载Python Volatility是基于Python开发的,因此在安装Volatility之前,需要先安装Python。可以从Python官网(https://www.python.org/downloads/windows/)下载适用于Windows的Python安装程序。 2. 安装pip pip是Python的一个软件包管理工具,可以帮助我们快速安装和管理Python软件包。在安装完成Python之后,需要在命令行中执行以下命令来安装pip: python get-pip.py 其中,get-pip.py是pip的安装程序,可以从https://bootstrap.pypa.io/get-pip.py 下载。 3. 安装Volatility 安装完了pip之后,就可以使用pip安装Volatility了。在命令行中执行以下命令: pip install volatility 这样,Volatility就安装完成了。 4. 选择扩展插件 在使用Volatility分析内存映像时,可能需要使用一些扩展插件,如:ProcDump、Malfind等。这些插件并不在Volatility的安装包中,需要手动下载并安装。可以选择到Volatility的官网(http://www.volatilityfoundation.org/releases)下载要使用的插件,下载后将其解压到Volatilityplugins目录中即可。 5. 开始使用Volatility 安装完Volatility和相关插件之后,就可以开始使用Volatility来分析内存映像了。在命令行中执行以下命令: volatility -f memory.img imageinfo 其中,memory.img是要分析的内存映像文件,imageinfoVolatility提供的一个命令,用于显示内存映像的元数据信息。 总结: 通过以上步骤,我们可以在Windows上成功地安装Volatility,并在命令行中使用其进行内存分析。需要注意的是,Volatility使用需要一定的专业知识和技能,建议配合相关培训或资料,以免造成不必要的损失。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值