ctf -- 内存取证分析工具volatility的下载与安装+简单的使用

最新推荐文章于 2024-06-12 23:33:27 发布
最新推荐文章于 2024-06-12 23:33:27 发布
阅读量1.8w 收藏 46
点赞数 7
分类专栏: CTF工具或其他工具安装 文章标签: git python windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/117961997
版权

你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以git clone下来:

git clone https://github.com/volatilityfoundation/volatility.git

上面那个是本体的安装,需要安装一些插件

python setup.py build

python setup.py install

安装setup-tools

wget https://pypi.python.org/packages/45/29/8814bf414e7cd1031e1a3c8a4169218376e284ea2553cc0822a6ea1c2d78/setuptools-36.6.0.zip

unzip setuptools-36.6.0.zip

cd setuptools-36.6.0

python setup.py install

安装pip

wget https://pypi.python.org/packages/11/b6/abcb525026a4be042b486df43905d6893fb04f05aac21c32c638e939e447/pip-9.0.1.tar.gz

tar -zxvf pip-9.0.1.tar.gz

cd pip-9.0.1

python setup.py install

安装python-dev

sudo apt-get install python-dev

安装pycrypto

pip install pycrypto

安装distorm3

pip install distorm3

安装完成

安装Windows下的该工具如下

下载链接 https://www.volatilityfoundation.org/releases
在这里插入图片描述在这里插入图片描述

查看镜像的系统信息 volatility_2.6_win64_standalone.exe -f .\memory.dmp imageinfo
在这里插入图片描述这个命令我执行的时候时间太长没反应,按了 Ctrl+C 就出来了

将镜像的注册表项导出进行查看 volatility_2.6_win64_standalone.exe -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir ./
在这里插入图片描述
在这里插入图片描述

下面是一些别的工具自己选择性的安装

PIL:图片处理库

pip install pil

OpenPyxl:读写excel文件

pip install openpyxl

ujson:JSON解析

pip install ujson

简单使用

了解–profile信息 python vol.py -f memory.dmp imageinfo
在这里插入图片描述
导出镜像中的注册表 python vol.py -f memory.dmp --profile=Win7SP1x64 dumpregistry --dump-dir=./registry/

搜索扫描文件 python vol.py -f memory --profile=Win7SP1x86_23418 filescan

搜索特定的文件 python vol.py -f memory --profile=WinXPSP2x86 filescan | grep "Oneclick"

在这里插入图片描述将文件导出来 python vol.py -f memory --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007e02af80 -D ./

在这里插入图片描述
提取内存中保留的 cmd 命令使用情况

 python vol.py -f memory --profile=WinXPSP2x86 cmdscan

在这里插入图片描述

半岛铁盒@
关注
  • 7
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
volatility_2.6_win64system_standalone.rar
10-08
内存取证分析工具volatility windows
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
取证工具volatility下载使用
最新发布
ndjnddjxn的博客
06-12 1110
Volatility可以还原系统崩溃或重启前的运行状态,包括进程、网络连接、文件操作等,为取证人员提供重要的线索。:Volatility可以分析被恶意软件感染的系统内存,帮助取证人员识别恶意软件的行为、进程和可能的隐藏技术。:通过内存取证Volatility可能能够获取到用户输入到系统中的密码信息,这有助于在取证过程中破解密码。你运行命令的时候可能是你正在尝试使用Python 2的语法来运行一个期望Python 3语法的。的内存镜像文件进行分析,并导出进程ID为1234的进程的内存内容到。
PyPI 官网下载 | volatility3-2.0.0.tar.gz
02-11
资源来自pypi官网。 资源全名:volatility3-2.0.0.tar.gz
内存取证工具及依赖.rar
08-17
Kali环境内存取证工具,依赖于python2
volatility_2.6_lin64_standalone.zip
05-16
volatility_2.6_lin64_standalone.zip linux 版本,用于内存取证
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用分析文档。
Volatility Windows 下载使用の小结
这个人很懒,什么都懒得写
05-03 4082
首先进入网站进行下载Volatility 2.6 Release 选择第一个进行下载 这时候将将镜像移动到同一目录下 第一次用,没什么经验,以为双击打开volatility 2.6就可以直接使用了 但没想到会闪退报错: 使用cmd命令行可以解决该问题: 在此输入cmd打开,问题解决~ ...
Kaili下volatility源码安装
it_xiaohu123的博客
12-20 4621
一、Kaili2021.3的下载网址Get Kali | Kali Linux 二、VMware的安装此处引用了这位博主的博客 VmWare16 安装图解_u011415782的专栏-CSDN博客_vmware16安装 三、Kaili Linux安装 1.点击新建虚拟机 2.可进行自定义安装,出错概率小 3. 4 浏览刚刚下载的Kaili选中它 ...
[OtterCTF 2018] 电子取证
qq_61768489的博客
08-14 838
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
volatility_2.6_mac64_standalone.zip
05-16
volatility_2.6_mac64_standalone.zip mac 版本,内存取证工具。亲测好用
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
易于扩展:通过插件来扩展 Volatility分析安装分为三步:下载安装必要的 python 依赖件安装本体你可以在 Release 中找到对应你系统(M
win10_volatility-win10_compressed_memory (1).zip
05-16
win10_volatility-win10_compressed_memory (1).zip
Chaikin_Volatility - MetaTrader 5脚本.zip
09-11
Chaikin 的波动指标。
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
CTF内存取证入坑指南!稳!题目
03-28
本篇文章将深入探讨内存取证的关键概念,并重点介绍Volatility工具使用内存取证(Memory Forensics)是指对计算机系统的内存(RAM)进行分析,以获取可能被隐藏或删除的证据。它不同于传统的硬盘取证,因为...
内存取证volatility最简安装方法
shshshsh_的博客
11-10 1492
打开解压后的文件,打不开可以在windows下解压之后,在放到kali里面去,当然也可以给他增加权限:chmod +rxw volatility_2.6_lin64_standalone。最后在这里说一下哪个名字可以随便改,但是建议改成和我一样的方便自己和他人使用工具,在这里就三步你就能使用他,还不来试试。给你们看一下,名字随便改,不影响使用。进入目录修改文件名称。
ubuntu安装volatility3
qq_41122834的博客
05-22 2636
Requirements Python 3.5.3 or later. https://www.python.org Pefile 2017.8.1 or later. https://pypi.org/project/pefile/ Optional Dependencies yara-python 3.8.0 or later. https://github.com/VirusTotal/yara-python capstone 3.0.0 or later. https://www.capstone
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值