Volatility3 windows插件详解

最新推荐文章于 2024-05-15 02:26:52 发布
最新推荐文章于 2024-05-15 02:26:52 发布
阅读量4k 收藏 15
点赞数
分类专栏: kali工具使用 文章标签: windows python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011250160/article/details/120473177
版权

发现三个系统加起来太tm多了
先搞windows
剩下的有缘再见

banners.Banners

识别linux镜像的banner信息
不识别windows的镜像
在这里插入图片描述

isfinfo.IsfInfo

确定当前可用的ISF文件
具体什么是ISF文件,我也没查到
如下
在这里插入图片描述

layerwriter.LayerWriter

Runs the automagics and writes out the primary layer produced by the stacker.
运行 automagics 并写出堆栈器产生的主层

在这里插入图片描述

timeliner.Timeliner

Runs all relevant plugins that provide time related information and orders the results by time.
运行所有提供时间相关信息并按时间排序结果的相关插件,简称,全自动洗衣机
在这里插入图片描述

windows.bigpools.BigPools

List big page pools.
咱也看不懂,咱也不敢问
在这里插入图片描述

windows.cachedump.Cachedump

Dumps lsa secrets from memory
从内存中转储 lsa 密码
我这是转储失败了
在这里插入图片描述

windows.callbacks.Callbacks

Lists kernel callbacks and notification routines.
列出内核回调和通知例程
在这里插入图片描述

windows.cmdline.CmdLine

Lists process command line arguments.
列出进程命令行参数
在这里插入图片描述

在这里插入图片描述

windows.crashinfo.Crashinfo

windows.dlllist.DllList

Lists the loaded modules in a particular windows memory image.
列出加载的dll
在这里插入图片描述

windows.driverirp.DriverIrp

List IRPs for drivers in a particular windows memory image.
列出Windows 镜像中驱动程序的 IRP
在这里插入图片描述

windows.driverscan.DriverScan

Scans for drivers present in a particular windows memory image.
扫描存在于 Windows 镜像中的驱动程序
在这里插入图片描述

windows.dumpfiles.DumpFiles

Dumps cached file contents from Windows memory samples.
从 Windows 内存中转储缓存的文件内容,文件夹要爆了
在这里插入图片描述

windows.envars.Envars

Display process environment variables
显示进程环境变量
在这里插入图片描述

windows.filescan.FileScan

Scans for file objects present in a particular windows memory image.
扫描文件
在这里插入图片描述

windows.getservicesids.GetServiceSIDs

Lists process token sids.

在这里插入图片描述

windows.getsids.GetSIDs

Print the SIDs owning each process
列出每个进程的sid
在这里插入图片描述

windows.handles.Handles

Lists process open handles.
列出进程打开的句柄
在这里插入图片描述

windows.hashdump.Hashdump

Dumps user hashes from memory
获取哈希,都懂的
在这里插入图片描述

windows.info.Info

Show OS & kernel details of the memory sample being analyzed.
获取系统内核信息
在这里插入图片描述

windows.lsadump.Lsadump

Dumps lsa secrets from memory
从内存中转储 lsa 密码
和cachedump一样的解释,但是执行的结果却不一样
在这里插入图片描述

windows.malfind.Malfind

Lists process memory ranges that potentially contain injected code.
列出可能包含注入代码的进程内存范围
在这里插入图片描述

windows.memmap.Memmap

Prints the memory map
打印内存映射
在这里插入图片描述

windows.modscan.ModScan

Scans for modules present in a particular windows memory image.
扫描 Windows 内存映像中存在的模块
在这里插入图片描述

windows.modules.Modules

Lists the loaded kernel modules.
列出加载的内核模块
在这里插入图片描述

windows.mutantscan.MutantScan

Scans for mutexes present in a particular windows memory image.
扫描特定 Windows 内存映像中存在的互斥锁,游戏多开用的就是mutex
在这里插入图片描述

windows.netscan.NetScan

Scans for network objects present in a particular windows memory image.
扫描存在于 Windows 内存映像中的网络对象
在这里插入图片描述

windows.netstat.NetStat

Traverses network tracking structures present in a particular windows memory image.
遍历 Windows 内存映像中存在的网络状态
就像执行了netstat -ano 一样
在这里插入图片描述

windows.poolscanner.PoolScanner

A generic pool scanner plugin.
在这里插入图片描述

windows.privileges.Privs

Lists process token privileges
在这里插入图片描述

windows.pslist.PsList

Lists the processes present in a particular windows memory image.
在这里插入图片描述

windows.psscan.PsScan

Scans for processes present in a particular windows memory image.
就像在linux中执行了ps一样
在这里插入图片描述

windows.pstree.PsTree

Plugin for listing processes in a tree based on their parent process ID.
根据父进程 ID 在树中列出进程的插件
反正我是没有看出来树形结构体现在哪
在这里插入图片描述

windows.registry.certificates.Certificates

Lists the certificates in the registry’s Certificate Store.
列出注册表的证书存储中的证书
在这里插入图片描述

windows.registry.hivelist.HiveList

Lists the registry hives present in a particular memory image.
列出内存映像中存在的注册表配置
在这里插入图片描述

windows.registry.hivescan.HiveScan

Scans for registry hives present in a particular windows memory image.
扫描 windows 中存在的注册表配置单元
在这里插入图片描述

windows.registry.printkey.PrintKey

Lists the registry keys under a hive or specific key value.
列出配置单元或特定键值下的注册表项
在这里插入图片描述

windows.registry.userassist.UserAssist

Print userassist registry keys and information.
打印 userassist 注册表项和信息

在这里插入图片描述

windows.skeleton_key_check.Skeleton_Key_Check

Looks for signs of Skeleton Key malware
寻找 Skeleton Key 恶意软件的迹象
在这里插入图片描述

windows.ssdt.SSDT

Lists the system call table.
列出系统调用表
在这里插入图片描述

windows.statistics.Statistics

统计数据

在这里插入图片描述

windows.strings.Strings

Reads output from the strings command and indicates which process(es) each string belongs to.
读取 strings 命令的输出并指示每个字符串属于哪个进程
已尽力,卒。

windows.svcscan.SvcScan

Scans for windows services.
服务扫描
在这里插入图片描述

windows.symlinkscan.SymlinkScan

Scans for links present in a particular windows memory image.
扫描存在于 Windows 内存映像中的链接
在这里插入图片描述

windows.vadinfo.VadInfo

Lists process memory ranges.
列出进程内存范围
在这里插入图片描述

windows.verinfo.VerInfo

Lists version information from PE files.
列出 PE 文件的版本信息
在这里插入图片描述

windows.virtmap.VirtMap

Lists virtual mapped sections.
列出虚拟映射section
在这里插入图片描述

VVeaker
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
volatility3-develop-内存镜像分析工具
06-30
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存...
volatility_2.6_win64system_standalone.rar
10-08
《Volatility 2.6 Windows版:内存取证分析利器》 在网络安全领域,数据取证是一项至关重要的工作,尤其是在处理犯罪活动、黑客入侵等事件时。内存取证,即从计算机的RAM(随机存取存储器)中提取信息,是数据取证...
Volatility中Windows有关的插件功能说明
dmbjzhh的专栏
03-02 5879
Windows Core镜像识别插件:imageinfo:显示目标镜像的摘要信息kdbgscan:kernel debugger block,KDBG是由Windows内核维护的用于调试目的的结构。它包含正在运行的进程和加载的内核模块的列表。它还包含一些版本信息,可让您确定内存转储是否来自Windows XP系统与Windows 7,安装了哪个Service Pack以及内存模型(32位与64位)...
volatility安装和出现的问题及解决方法
clotten的博客
12-10 2571
volatility安装和出现的问题及解决方法
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
最新发布
2401_85013565的博客
05-15 1108
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
关于我在windows使用volatility取证这档事
u011250160的博客
09-24 6252
官网下载地址:https://www.volatilityfoundation.org/releases volatility3的官方文档:https://volatility3.readthedocs.io/en/latest/basics.html 下载 看清有两个版本,用法不一样 第一次我下载了Volatility 2.6 Windows Standalone Executable (x64) 结果执行Volatility.exe老是报出error 然后我果断删除了2.6 下载了3.0 版本差异 而
volatility安装及使用
陈止风的博客
11-14 3万+
来源自我的博客 http://www.yingzinanfei.com/2016/09/22/volatilityanzhuangjishiyong/volatility地址:https://github.com/volatilityfoundation/volatility 直接使用volatility无需安装,解压后即可使用。 volatility的依赖包: # yum install pc
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 1万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持WindowsLinux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
windows下的volatility的内存取证分析与讲解
cuihua的博客
04-03 7973
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
volatility-plugins:波动性框架插件
04-29
用法facebook_extractor.py包含3个Volatility插件: facebookgrabinfo facebookcontacts facebook消息对于每个插件,您可以使用以下命令查看其可用选项:$ python vol.py“ facebook-plugin” -h 通常,您首先需要...
volatility_plugins:一些波动性插件
05-05
linux_python_strings 最初,此插件从运行的python进程的内存中提取python字符串。 vol.py \ --plugins=profiles:<other>:<path>/plugins \ --profile=<profile> \ -f <path> \ linux_python_strings -p <PID> --...
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
Volatility Windows 下载及使用の小结
这个人很懒,什么都懒得写
05-03 4059
首先进入网站进行下载: Volatility 2.6 Release 选择第一个进行下载 这时候将将镜像移动到同一目录下 第一次用,没什么经验,以为双击打开volatility 2.6就可以直接使用了 但没想到会闪退报错: 使用cmd命令行可以解决该问题: 在此输入cmd打开,问题解决~ ...
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
流量分析和内存取证
weixin_53139887的博客
01-10 828
流量分析 先出示一个例题,这是长安防疫站的一道misc题 先过滤http流量,手动分析所有返回http200的请求(http200是服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。)可以得到两个可疑的文件 追踪他们两个的tcp流, 然后对第一个进行base32解码 在对第二个进行base64解码,观察可知是zip压缩包,解压得到文件夹 chips包含和hint一一对应的图片一堆, 接下来一步就是如何将图像拼接成正常的包含flag的样子 这是流量分析比较基础...
利用Volatility进行Windows内存取证分析(一):初体验
Fly_鹏程万里
05-16 9070
简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,...
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 6442
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持WindowsLinux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
windows安装Volatility3
weixin_74062643的博客
03-26 810
windows安装Volatility3
volatility安装windows
06-28
### 回答1: 在 Windows安装 volatility 可以通过以下步骤进行: 1. 下载安装 Python,该软件是 volatility 的运行环境。 2. 下载 volatility 的源代码或者预编译的版本,然后解压。 3. 打开命令提示符,并进入到 volatility 的安装目录。 4. 运行命令: python setup.py install 5. 安装完成后,在命令提示符中输入 volatility 即可运行该软件。 ### 回答2: Volatility是一个用于内存分析的开源框架,可以用来提取运行中的操作系统的数据,以了解系统的状态、分析攻击事件和逆向病毒。本文将介绍如何在Windows操作系统上安装和使用Volatility。 1.环境准备 在安装Volatility之前,需要将安装路径添加到系统的环境变量中。可以在右键“计算机”->“属性”->“高级系统设置”->“环境变量”中找到。在“系统变量”中找到“Path”项,双击进行编辑,在最后加上Volatility的路径。 2. 安装Python Volatility需要Python 2.7.x的支持,所以要先在系统上安装Python。可以从Python官网下载安装包,按照安装提示进行安装即可。 3. 下载Volatility 可以从Volatility的官方网站https://www.volatilityfoundation.org/downloads下载最新版本的Volatility,也可以使用Git进行获取。下载后解压到任意目录。 4. 安装Volatility 打开命令提示符,进入到刚才解压的目录,运行以下命令进行安装python setup.py install 5. 检查是否安装成功 在命令提示符中输入以下命令:volatility -h,命令行应该显示出帮助信息,表示Volatility已经成功安装。 6. 使用Volatility Volatility提供了非常丰富的命令行工具,可以使用命令行完成各种内存分析任务。需要注意的是,使用Volatility需要对操作系统的原理和内存分析有一定的了解。在使用之前,可以先阅读一些基础文档或者参加培训课程进行学习。 总之,如果您需要进行内存分析,Volatility是一个非常不错的选择。通过上述的步骤,您可以在Windows操作系统上快速安装和使用Volatility。 ### 回答3: Volatility是一款用于分析内存映像的工具,可以帮助研究人员快速获得关于系统状态、进程信息、网络连接等方面的数据。在这里,我将详细介绍如何在Windows安装Volatility。 1. 下载Python Volatility是基于Python开发的,因此在安装Volatility之前,需要先安装Python。可以从Python官网(https://www.python.org/downloads/windows/)下载适用于WindowsPython安装程序。 2. 安装pip pip是Python的一个软件包管理工具,可以帮助我们快速安装和管理Python软件包。在安装完成Python之后,需要在命令行中执行以下命令来安装pip: python get-pip.py 其中,get-pip.py是pip的安装程序,可以从https://bootstrap.pypa.io/get-pip.py 下载。 3. 安装Volatility 安装完了pip之后,就可以使用pip安装Volatility了。在命令行中执行以下命令: pip install volatility 这样,Volatility就安装完成了。 4. 选择扩展插件 在使用Volatility分析内存映像时,可能需要使用一些扩展插件,如:ProcDump、Malfind等。这些插件并不在Volatility的安装包中,需要手动下载并安装。可以选择到Volatility的官网(http://www.volatilityfoundation.org/releases)下载要使用的插件,下载后将其解压到Volatility的plugins目录中即可。 5. 开始使用Volatility 安装完Volatility和相关插件之后,就可以开始使用Volatility来分析内存映像了。在命令行中执行以下命令: volatility -f memory.img imageinfo 其中,memory.img是要分析的内存映像文件,imageinfo是Volatility提供的一个命令,用于显示内存映像的元数据信息。 总结: 通过以上步骤,我们可以在Windows上成功地安装Volatility,并在命令行中使用其进行内存分析。需要注意的是,Volatility的使用需要一定的专业知识和技能,建议配合相关培训或资料,以免造成不必要的损失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值