volatility取证的使用----windows内存
简介
kali下默认安装
可以对windows,linux,mac,android的内存进行分析
内存文件的准备
Win2003SP2x86下使用工具dumpit获取到了内存文件,保存为ROOT-6B78B0CA4D-20190202-044824.raw
其实不光.raw .vmem .img都是可以的
获取基本信息
volatility -f ROOT-6B78B0CA4D-20190202-044824.raw imageinfo
这里最关键的就是获取profile的类型,因为不同的系统数据结构啥的不一样,所以得用--profile=来指定。
这里自动猜解可能的系统类型,一般情况下第一个是正确的
列出所有进程
volatility -f ROOT-6B78B0CA4D-20190202-044824.raw --profile=Win2003SP0x86 pslist
psxview可以查看隐藏进程
No suitable address space mapping found
Tried to open image as:
MachOAddressSpace: mac: need base
LimeAddressSpace: lime: need base
WindowsHiberFileSpace32: No base Address Space
WindowsCrashDumpSpace64BitMap: No base Address Space
VMWareMetaAddressSp