Volatility-内存取证工具

admin 2022年9月17日15:01:34安全工具 取证分析评论16 views3644字阅读12分8秒阅读模式

Volatility-内存取证工具

1.Volatility功能介绍

Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。

工具下载地址:https://github.com/volatilityfoundation

官网下载地址:https://www.volatilityfoundation.org/

2.Volatility安装方式

目前作者已公布了两个版本的Volatility,Volatility2是基于py2环境,Volatility3是基于py3环境,接下来小编将带领大家分别对这两个环境进行安装。

(1)Volatility3环境的安装

首先请确保系统中已安装python3环境,安装pycrypto库函数

Volatility-内存取证工具

进入到Volatility目录,执行如下指令,即可将Volatility成功安装

>>> sudo python3 setup.py install

Volatility-内存取证工具

此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装成功

>>> sudo python3 vol.py -h

Volatility-内存取证工具

(2)Volatility2环境的安装

首先请确保系统中已安装python2环境,安装pycrypto库函数

首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/

Volatility-内存取证工具

注意:如果遇到报错可尝试执行如下命令,解决问题:

>>> sudo apt-get install python-dev

>>> sudo pip install setuptools进入到Volatility目录,执行如下指令,即可将Volatility成功安装

>>> sudo python2 setup.py install

Volatility-内存取证工具

此时,就成功安装了Volatility2工具,可以执行如下指令查看是否安装成功

>>> sudo python2 vol.py -h

Volatility-内存取证工具

3.Volatility使用方式

Volatility2的使用方法

(1)获取系统基本信息

>>>python2 vol.py -f ../Target.vmem imageinfo

Volatility-内存取证工具

(2)列出进程信息

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist

tips:psxview : 可查看一些隐藏进程pstree : 以树的形式来列出正在进行的进程,不会显示出隐藏或未链接的进程(套神说的)

Volatility-内存取证工具

(3)提取某进程文件内容

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D /

Volatility-内存取证工具

(4)查看文件目录

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan

Volatility-内存取证工具

(5)提取某文件内容

>>>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./

Volatility-内存取证工具

(6)调用mimikatz抓取系统口令

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz

Volatility-内存取证工具

(7)查看cmd命令历史

>>>volatility -f ../Target.vmem --profile=Win7SP1x64 cmdscan

(8)查看镜像的历史命令

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 cmdscan

Volatility-内存取证工具

(9)看到指令的输入和输出

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 consoles

(10)列出所有命令行下运行的程序

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 cmdline

Volatility-内存取证工具

(11)显示进程权限

Volatility-内存取证工具

(12)显示环境变量

Volatility-内存取证工具

(13)查找flag文件

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 filescan

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 filescan | grep "flag"

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 filescan | grep -E

volatility -f memory --profile=Win7SP1x64 filescan | grep "flag"

(14)dump目标文件

volatility -f memory --profile=Win7SP1x64 dumpfiles -Q 0x000000001e85f430 --dump-dir=./

Volatility-内存取证工具

(15)查看系统正在运行的编辑本

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 editbox

(16)导出系统的注册表

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 dumpregistry --dump-dir=./registry/

(17)查看并导出屏幕的截屏【需要安装PIL库】

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 screenshot -D ./

(18)查看剪贴板数据,加一个-v可以导出相关的数据

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 clipboard

(19)查看浏览器的历史记录

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 iehistory

(20)查看用户名

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 printkey -K "SAMDomainsAccountUsersNames"

Volatility-内存取证工具

(21)打印出最后登录的用户

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 printkey -K "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"

Volatility-内存取证工具

(22)获取各个账号的MD5加密密码

涛神这里是使用hivelist找出获取system 的 virtual 地址,SAM 的 virtual 地址,然后使用hashdump -y SYSTEM_virtual -x SAM_virtual

volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 hashdump

Volatility-内存取证工具

(23)直接hashdump的

Volatility-内存取证工具

(24)列出SAM表用户

volatility -f memory --profile=Win7SP1x64 printkey -K "SAMDomainsAccountUsersNames"

Volatility-内存取证工具

(25)获取system和SAM地址

volatility -f memory --profile=Win7SP1x64 hivelist

Volatility-内存取证工具

Volatility3的使用方法

(1) 获取系统基本信息

>>>sudo python3 vol.py -f ../Target.vmem windows.info

Volatility-内存取证工具

(2) 列出进程信息

Volatility-内存取证工具

(3) 提取某进程文件内容

>>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump

Volatility-内存取证工具

(4) 查看文件目录

Volatility-内存取证工具

(5) 提取某文件内容(此功能存在问题,待进一步解决!)

Volatility-内存取证工具

0x0 


关注公众号「安全猎人」
更多精彩等着大家
欢迎师傅们加入我的 安全猎人的小屋(添加好友备注加群),一起学习进步~后面不定期发布更多资源,更多惊喜等着大家。pc取证-番外篇

Volatility-内存取证工具

欢迎 点赞 + 在看、分享本公众号 给更多师傅们哈

❤️
----------------往期精选-----------------

Go语言-自学篇-2
Go语言-自学篇-1

Fortify-详解

电子数据取证-计算机系统概论

电子数据取证-电子取证流程与技术

取证常用工具

物联网安全测试合集

apk安全测试常用工具

apk安全测试笔记


注:

注:文章部分来源于CSDN,请注意辨识;

封面来源于壁纸网站:http://www.netbian.com/s/chaogaoqing



原文始发于微信公众号(安全猎人):Volatility-内存取证工具

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月17日15:01:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Volatility-内存取证工具 http://cn-sec.com/archives/1301763.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: