Volatility,内存取证工具,一直以来都很“清高”地以命令行方式“行走江湖”,完全不顾自己“参数众多”这个“爆炸”形象,有种“任我行”的味道,直接影响“我等小白”的用户体验。自2018年作者根据用户需求开发了GUI界面以来,受到了热烈地、广泛地欢迎,最近抽空升级改造,形成了目前的2.0版本。现结合一个CTF的内存取证题来做个功能讲解。
一、程序界面
一眼看去,界面上功能众多,眼花缭乱。我在这里用“=======”进行功能分层隔离,介绍如下:
1)最上面一是Volatility程序的位置,毕竟作者只是做了个GUI,还是要调用Volatility程序的;二是指定设置了外部插件的位置,可以用python进行定制开发插件。
2)接下来的区域,一是内存镜像文件的位置;二是内存镜像中的操作系统;三是Volatility自带的内部命令参数,作者作了每个命令的中文说明,下拉框中能看到。
3)再接下来的区域,是导出文件类型和导出的文件名。
4)再下来的区域,是以上所有选项、命令的合成区域,将上面所