Volatility内存分析

最新推荐文章于 2023-04-16 09:15:47 发布
最新推荐文章于 2023-04-16 09:15:47 发布
阅读量645 收藏 5
点赞数
文章标签: 操作系统 运维
原文链接:http://www.cnblogs.com/Tempt/p/11584208.html
版权
Volatility同其他工具一样,-h查看相关文档帮助(windows下和linux下都可使用)
由于此工具功能过于全面,所以对于工具使用的背后,分析人员所需要的基本功要求很高(显然我不行:) 所以目前只学习几个较为常用简单的功能语句,后续当有相对应的分析任务时,会根据任务情况进行对应的讲解学习(涉密文件除外)
为了方便学习,之前通过dumpit工具dump下虚拟机的win7系统内存镜像
以下所有命令全部环绕此镜像学习
 
  • -f :指定分析文件
  • imageinfo:查询对应镜像文件的系统信息
在做分析之前要对XX镜像文件的系统信息进行确认,之后的每次命令查询都要告诉Volatility操作系统信息
 
接着在指定操作系统信息后,第一个接触进程信息
  • --profile=XXXXX  :表示操作系统
pslist 查看进程(插件)
与pslist相对应的还有pstree 可以查看进程结构图
 
查看注册表的蜂巢文件:hivelist
对于感兴趣的蜂巢根目录,可以对其进行dump
  • hivedump -o 内存地址 
在dump时要注意,因为是内存镜像,所以要指定dump蜂巢的内存地址,而内存地址的选择要注意是内存虚地址。用-o表示
 
对于感兴趣的注册表键值,可以对注册表键值进行查询
  • printkey -K "SAM\Domains\Account\Users\Names"
 
  • userassist 查询在系统上运行的进程运行的时间,运行的次数
 
  • dump进程内存:memdump -p 进程PID -D 路径
在配合strings工具进行字符串搜索匹配
  • yarascan -y fm.yara :当然也可以根据一些可疑字符串进行全盘内存的搜索匹配,利用写好的yara规则进行匹配
简答的匹配yara文件
  • cmdscan 查看cmd历史记录
volatility.exe cmdscan -f 1.raw --profile=Win7SP1x64
 
  • 查看网络情况
volatility.exe netscan -f 1.raw --profile=Win7SP1x64
 
  • 根据网络连接情况检查SID: getsids -p 进程PID  查看哪些用户对特定进程有权限
例如svchost是没有system权限,如果发现svchost中有system权限则为可疑进程
 
  • 调用库文件dll :dlldist -p 进程PID 根据导入的库文件进行筛选
 
  • 直观的查看可能是恶意程序 malfind -p 进程ID  -D 保存到某路径
        malfind  -D 保存路径  将可疑的进程保存至本机用杀软查杀

转载于:https://www.cnblogs.com/Tempt/p/11584208.html

weixin_30337251
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 1万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
金砖技能大赛-应急响应-内存镜像分析-进程分析
WEB渗透测试 从入门到萌新
09-30 4624
作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
kali对windows的内存取证
weixin_51957047的博客
04-16 552
kali对windows内存在线取证,对靶机进行挖矿主要的信息提取
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 5万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility_2.6_win64system_standalone.rar
10-08
内存取证分析工具volatility windows版
内存分析框架VolUtility.zip
07-17
VolUtility 是一个 Volatility 内存分析框架的 Web 界面应用。基本用法:创建一个新的会话,然后点击旁边的每一个插件运行按钮。插件会在后台运行并且完成时会通知您。可以点击旁边每一个插件的视图按钮来查看输出,...
chrome_ragamuffin:使用Volatility的Google Chrome内部分析
01-31
内存转储开始,Chrome Ragamuffin可以列出在哪个选项卡上打开了哪个页面,并且能够提取DOM树以分析整个页面结构。 此时,Chrome Ragamuffin可以扫描内存中的blink :: Document对象,并提取其DOM树。 树可以以...
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
windows下的volatility内存取证分析与讲解
cuihua的博客
04-03 7271
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
内存取证-volatility工具的使用
baynk的博客
05-11 2万+
0x00 volatility介绍 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。 目前已经有一段时
volatility内存取证分析与讲解(持续更新)
qq_49422880的博客
02-28 5961
volatility内存取证分析与讲解0x01 volatility的安装0x02 基本使用0x03 取证实战(持续更新)0x04 总结 0x01 volatility的安装 本人暂时只使用windows下的volatility进行取证,安装方法如下: volatility安装网址 进去之后,找到windows版本然后直接下载即可。 直接解压,就能用。 0x02 基本使用 1.volatility_2.6.exe -f .\Target.vmem imageinfo 查看镜像的基本信息。使用的时候可以将
volatility取证
sechelper的博客
12-07 1425
vil取证,常用命令合集,11道实践案例,CTF相关
网络安全应急响应----10、内存分析
七天
03-24 7655
文章目录一、基于软件的内存获取技术和工具1.1、利用对象或设备直接读取物理内存的软件1.2、利用驱动或内核扩展读取物理内存的软件二、基于硬件的内存获取技术和工具2.1、使用网卡获取物理内存2.3、基于PCI Express接口获取物理内存2.4、基于Thunderbolt接口获取物理内存三、内存获取的其他方式3.1、虚拟化环境下获取内存3.2、内存转储(Memory Dump)方式3.3、休眠文件保存的内存信息3.4、页面交换文件中的内存信息 目前的内存镜像获取方法主要分为基于硬件设备的和基于软件的。两
全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析(超详细解析)
Jay
12-20 1968
4.从内存文件中找到异常程序植入到系统的开机自启痕迹,使用Volatility工具分析出异常程序在注册表中植入的开机自启项的Virtual地址,将Virtual地址作为Flag值提交;DLL dlllist -p 查看一下这个进程的查看一下这个进程的DLL,发现程序是在temp目录下执行的,那这个应该就是恶意软件进程了。5.从内存文件中找到异常程序植入到系统的开机自启痕迹,将启动项最后一次更新的时间作为Flag值(只提交年月日,例如:20210314)提交。
Volatility内存分析工具 - 某即时通讯软件Windows端数据库密钥的分析
m0_37779785的博客
02-01 1577
介绍了一种使用Volatility内存镜像中分析某即时通讯软件Windows端数据库密钥的方法。
Volatility 内存映像提取
最新发布
06-06
4. 进行内存分析:使用Volatility命令行工具,可以运行各种插件来进行内存分析,例如: ``` volatility -f memdump pslist ``` 这个命令将输出内存映像中运行的进程列表。 以上是使用Volatility提取内存映像...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值