工具下载地址:https://github.com/volatilityfoundation
2.Volatility安装方式
目前作者已公布了两个版本的Volatility,Volatility2是基于py2环境,Volatility3是基于py3环境,接下来小编将带领大家分别对这两个环境进行安装。
(1)Volatility3环境的安装
首先请确保系统中已安装python3环境,安装pycrypto库函数
进入到Volatility目录,执行如下指令,即可将Volatility成功安装
> sudo python3 setup.py install
此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功
> sudo python3 vol.py -h
(2)Volatility2环境的安装
首先请确保系统中已安装python2环境,安装pycrypto库函数
首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/
注意:如果遇到报错可尝试执行如下命令,解决问题:
> sudo apt-get install python-dev> sudo pip install setuptools进入到Volatility目录,执行如下指令,即可将Volatility成功安装> sudo python2 setup.py install
此时,就成功安装了Volatility2工具,可以执行如下指令查看是否安装是成功
> sudo python2 vol.py -h
3.Volatility使用方式
Volatility2的使用方法
(1) 获取系统基本信息
>python2 vol.py -f ../Target.vmem imageinfo
(2) 列出进程信息
> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist
(3) 提取某进程文件内容
> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D /
(4) 查看文件目录
> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan
(5) 提取某文件内容
>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./
(6) 调用mimikatz抓取系统口令
> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz
Volatility3的使用方法
(1) 获取系统基本信息
>sudo python3 vol.py -f ../Target.vmem windows.info
(2) 列出进程信息
(3) 提取某进程文件内容
>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump
(4) 查看文件目录
(5) 提取某文件内容(此功能存在问题,待进一步解决!)
原文始发于微信公众号(安全攻防之道):CTF取证 | Volatility工具使用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论