在CTF中，内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析，提取flag或者与flag相关重要信息。

2. volatility工具

2.1安装

[https://github.com/volatilityfoundation/volatility/releases](https://github.com/volatilityfoundation/volatility/releases)

win可直接下载exe版本，相关环境依赖均已集成在exe中。

linux可下载lin版本运行，也可以下载源码版本运行setup.py安装。

源码版本需自行安装python2和相关环境依赖，建议安装Volatility2，2相对3比较好用。

2.2使用

2.2.1vol全部命令

E:toolsvolatility_2.6_win64_standalone>volatility_2.6_win64_standalone.exe -h
Volatility Foundation Volatility Framework 2.6
Usage: Volatility - A memory forensics analysis platform.

Options:
  -h, --help            list all available options and their default values.
                        Default values may be set in the configuration file
                        (/etc/volatilityrc)
  --conf-file=.volatilityrc
                        User based configuration file
  -d, --debug           Debug volatility
  --plugins=PLUGINS     Additional plugin directories to use (semi-colon
                        separated)
  --info                Print information about all registered objects
  --cache-directory=C:Usersc3l3/.cachevolatility
                        Directory where cache files are stored
  --cache               Use caching
  --tz=TZ               Sets the (Olson) timezone for displaying timestamps
                        using pytz (if installed) or tzset
  -f FILENAME, --filename=FILENAME
                        Filename to use when opening an image
  --profile=WinXPSP2x86
                        Name of the profile to load (use --info to see a list
                        of supported profiles)
  -l LOCATION, --location=LOCATION
                        A URN location from which to load an address space
  -w, --write           Enable write support
  --dtb=DTB             DTB Address
  --shift=SHIFT         Mac KASLR shift address
  --output=text         Output in this format (support is module specific, see
                        the Module Output Options below)
  --output-file=OUTPUT_FILE
                        Write output in this file
  -v, --verbose         Verbose information
  -g KDBG, --kdbg=KDBG  Specify a KDBG virtual address (Note: for 64-bit
                        Windows 8 and above this is the address of
                        KdCopyDataBlock)
  --force               Force utilization of suspect profile
  -k KPCR, --kpcr=KPCR  Specify a specific KPCR address
  --cookie=COOKIE       Specify the address of nt!ObHeaderCookie (valid for
                        Windows 10 only)

        Supported Plugin Commands:

                amcache         Print AmCache information
                apihooks        Detect API hooks in process and kernel memory
                atoms           Print session and window station atom tables
                atomscan        Pool scanner for atom tables
                auditpol        Prints out the Audit Policies from HKLMSECURITYPolicyPolAdtEv
                bigpools        Dump the big page pools using BigPagePoolScanner
                bioskbd         Reads the keyboard buffer from Real Mode memory
                cachedump       Dumps cached domain hashes from memory
                callbacks       Print system-wide notification routines
                clipboard       Extract the contents of the windows clipboard
                cmdline         Display process command-line arguments
                cmdscan         Extract command history by scanning for _COMMAND_HISTORY
                connections     Print list of open connections [Windows XP and 2003 Only]
                connscan        Pool scanner for tcp connections
                consoles        Extract command history by scanning for _CONSOLE_INFORMATION
                crashinfo       Dump crash-dump information
                deskscan        Poolscaner for tagDESKTOP (desktops)
                devicetree      Show device tree
                dlldump         Dump DLLs from a process address space
                dlllist         Print list of loaded dlls for each process
                driverirp       Driver IRP hook detection
                drivermodule    Associate driver objects to kernel modules
                driverscan      Pool scanner for driver objects
                dumpcerts       Dump RSA private and public SSL keys
                dumpfiles       Extract memory mapped and cached files
                dumpregistry    Dumps registry files out to disk
                editbox         Displays information about Edit controls. (Listbox experimental.)
                envars          Display process environment variables
                eventhooks      Print details on windows event hooks
                evtlogs         Extract Windows Event Logs (XP/2003 only)
                filescan        Pool scanner for file objects
                gahti           Dump the USER handle type information
                gditimers       Print installed GDI timers and callbacks
                gdt             Display Global Descriptor Table
                getservicesids  Get the names of services in the Registry and return Calculated SID
                getsids         Print the SIDs owning each process
                handles         Print list of open handles for each process
                hashdump        Dumps passwords hashes (LM/NTLM) from memory
                hibinfo         Dump hibernation file information
                hivedump        Prints out a hive
                hivelist        Print list of registry hives.
                hivescan        Pool scanner for registry hives
                hpakextract     Extract physical memory from an HPAK file
                hpakinfo        Info on an HPAK file
                idt             Display Interrupt Descriptor Table
                iehistory       Reconstruct Internet Explorer cache / history
                imagecopy       Copies a physical address space out as a raw DD image
                imageinfo       Identify information for the image
                impscan         Scan for calls to imported functions
                joblinks        Print process job link information
                kdbgscan        Search for and dump potential KDBG values
                kpcrscan        Search for and dump potential KPCR values
                ldrmodules      Detect unlinked DLLs
                lsadump         Dump (decrypted) LSA secrets from the registry
                machoinfo       Dump Mach-O file format information
                malfind         Find hidden and injected code
                mbrparser       Scans for and parses potential Master Boot Records (MBRs)
                memdump         Dump the addressable memory for a process
                memmap          Print the memory map
                messagehooks    List desktop and thread window message hooks
                mftparser       Scans for and parses potential MFT entries
                moddump         Dump a kernel driver to an executable file sample
                modscan         Pool scanner for kernel modules
                modules         Print list of loaded modules
                multiscan       Scan for various objects at once
                mutantscan      Pool scanner for mutex objects
                notepad         List currently displayed notepad text
                objtypescan     Scan for Windows object type objects
                patcher         Patches memory based on page scans
                poolpeek        Configurable pool scanner plugin
                printkey        Print a registry key, and its subkeys and values
                privs           Display process privileges
                procdump        Dump a process to an executable file sample
                pslist          Print all running processes by following the EPROCESS lists
                psscan          Pool scanner for process objects
                pstree          Print process list as a tree
                psxview         Find hidden processes with various process listings
                qemuinfo        Dump Qemu information
                raw2dmp         Converts a physical memory sample to a windbg crash dump
                screenshot      Save a pseudo-screenshot based on GDI windows
                servicediff     List Windows services (ala Plugx)
                sessions        List details on _MM_SESSION_SPACE (user logon sessions)
                shellbags       Prints ShellBags info
                shimcache       Parses the Application Compatibility Shim Cache registry key
                shutdowntime    Print ShutdownTime of machine from registry
                sockets         Print list of open sockets
                sockscan        Pool scanner for tcp socket objects
                ssdt            Display SSDT entries
                strings         Match physical offsets to virtual addresses (may take a while, VERY verbose)
                svcscan         Scan for Windows services
                symlinkscan     Pool scanner for symlink objects
                thrdscan        Pool scanner for thread objects
                threads         Investigate _ETHREAD and _KTHREADs
                timeliner       Creates a timeline from various artifacts in memory
                timers          Print kernel timers and associated module DPCs
                truecryptmaster Recover TrueCrypt 7.1a Master Keys
                truecryptpassphrase     TrueCrypt Cached Passphrase Finder
                truecryptsummary        TrueCrypt Summary
                unloadedmodules Print list of unloaded modules
                userassist      Print userassist registry keys and information
                userhandles     Dump the USER handle tables
                vaddump         Dumps out the vad sections to a file
                vadinfo         Dump the VAD info
                vadtree         Walk the VAD tree and display in tree format
                vadwalk         Walk the VAD tree
                vboxinfo        Dump virtualbox information
                verinfo         Prints out the version information from PE images
                vmwareinfo      Dump VMware VMSS/VMSN information
                volshell        Shell in the memory image
                windows         Print Desktop Windows (verbose details)
                wintree         Print Z-Order Desktop Windows Tree
                wndscan         Pool scanner for window stations
                yarascan        Scan process or kernel memory with Yara signatures

2.2.2vol命令翻译

amcache                打印 AmCache 信息
apihooks               检测进程和内核内存中的 API 挂钩
atoms                  打印会话和窗口站原子表
atomscan               原子表的池扫描器
auditpol               从 HKLMSECURITYPolicyPolAdtEv 打印出审计策略
bigpools               使用 BigPagePoolScanner 转储大页面池
bioskbd                从实模式内存读取键盘缓冲区
cachedump              从内存转储缓存的域哈希
callbacks              打印系统范围的通知例程
clipboard              提取 Windows 剪贴板的内容
cmdline                显示进程命令行参数
cmdscan                通过扫描 _COMMAND_HISTORY 提取命令历史记录
connections            打印打开的连接列表 [仅限 Windows XP 和 2003]
connscan               tcp 连接的池扫描器
consoles               通过扫描 _CONSOLE_INFORMATION 提取命令历史记录
crashinfo              转储崩溃转储信息
deskscan               tagDESKTOP（桌面）的池扫描器
devicetree             显示设备树
dlldump                从进程地址空间转储 DLL
dlllist                打印每个进程的已加载 dll 列表
driverirp              驱动程序 IRP 挂钩检测
drivermodule           将驱动程序对象关联到内核模块
driverscan             驱动程序对象的池扫描器
dumpcerts              转储 RSA 私钥和公钥 SSL 密钥
dumpfiles              提取内存映射和缓存文件
dumpregistry           将注册表文件转储到磁盘
editbox                显示有关编辑控件的信息。（实验性列表框。）
envars                 显示进程环境变量
eventhooks             打印有关 Windows 事件挂钩的详细信息
evtlogs                提取 Windows 事件日志（仅限 XP/2003）
filescan               文件对象的池扫描器
gahti                  转储 USER 句柄类型信息
gditimers              打印已安装的 GDI 计时器和回调
gdt                    显示全局描述符表
getservicesids         获取注册表中的服务名称并返回计算的 SID
getsids                打印拥有每个进程的 SID
handles                打印每个进程的打开句柄列表
hashdump               从内存中转储密码哈希（LM/NTLM）
hibinfo                转储休眠文件信息
hivedump               打印出配置单元
hivelist               打印注册表配置单元列表。
hivescan               注册表配置单元池扫描器
hpakextract            从 HPAK 文件中提取物理内存
hpakinfo               HPAK 文件信息
idt                    显示中断描述符表
iehistory              重建 Internet Explorer 缓存/历史记录
imagecopy              将物理地址空间复制为原始 DD 映像
imageinfo              识别映像信息
impscan                扫描对导入函数的调用
joblinks               打印进程作业链接信息
kdbgscan               搜索并转储潜在 KDBG 值
kpcrscan               搜索并转储潜在 KPCR 值
ldrmodules             检测未链接的 DLL
lsadump                从注册表转储（解密）LSA 机密
machoinfo              转储 Mach-O 文件格式信息
malfind                查找隐藏和注入的代码
mbrparser              扫描并解析潜在主引导记录 (MBR)
memdump                转储进程的可寻址内存
memmap                 打印内存映射
messagehooks           列出桌面和线程窗口消息挂钩
mftparser              扫描并解析潜在 MFT 条目
moddump                将内核驱动程序转储到可执行文件示例
modscan                内核模块池扫描器
modules                打印已加载模块的列表
multiscan              一次扫描各种对象
mutantscan             互斥对象池扫描器
notepad                列出当前显示的记事本文本
objtypescan            扫描 Windows 对象类型对象
patcher                根据页面扫描修补内存
poolpeek               可配置池扫描器插件
printkey               打印注册表项及其子项和值
privs                  显示进程权限
procdump               将进程转储到可执行文件示例
pslist                 按照 EPROCESS 列表打印所有正在运行的进程
psscan                 进程对象的池扫描器
pstree                 将进程列表打印为树
psxview                使用各种进程列表查找隐藏进程
qemuinfo               转储 Qemu 信息
raw2dmp                将物理内存示例转换为 windbg 崩溃转储
screenshot             根据 GDI 窗口保存伪屏幕截图
servicediff            列出 Windows 服务（ala Plugx）
sessions               列出 _MM_SESSION_SPACE（用户登录会话）的详细信息
shellbags              打印 ShellBags 信息
shimcache              解析应用程序兼容性 Shim Cache 注册表项
shutdowntime           从注册表打印机器的 ShutdownTime
sockets                打印打开套接字的列表
sockscan               tcp 套接字对象的池扫描器
ssdt                   显示 SSDT 条目
strings                将物理偏移量与虚拟地址匹配（可能需要一段时间，非常冗长）
svcscan                扫描 Windows 服务
symlinkscan            符号链接对象的池扫描器
thrdscan               线程的池扫描器对象
threads                调查 _ETHREAD 和 _KTHREADs
timeliner              根据内存中的各种工件创建时间线
timers                 打印内核计时器和相关模块 DPC
truecryptmaster Recover   恢复 TrueCrypt 7.1a 主密钥
truecryptpassphrase    TrueCrypt 缓存密码查找器
truecryptsummary       TrueCrypt 摘要
unloadedmodules        打印未加载模块列表
userassist             打印 userassist 注册表项和信息
userhandles            转储 USER 句柄表
vaddump                将 vad 部分转储到文件
vadinfo                转储 VAD 信息
vadtree                遍历 VAD 树并以树格式显示
vadwalk                遍历 VAD 树
vboxinfo               转储虚拟盒信息
verinfo                从 PE 映像打印出版本信息
vmwareinfo             转储 VMware VMSS/VMSN 信息
volshell               内存映像中的 Shell
windows                打印桌面窗口（详细信息）
wintree                打印 Z 顺序桌面窗口树
wndscan                窗口站的池扫描仪
yarascan               使用 Yara 签名扫描进程或内核内存

2.2.3vol常用命令举例

vol使用首先需要知道内存镜像是什么类型的系统，因此要首先使用imageinfo获取镜像信息。常见的内存文件格式有img、dmp、raw、vmem等。

volatility.exe -f 1.dmp imageinfo

Suggested Profile(s)里面就是镜像系统对应的版本号，大部分是第一个版本。有时Suggested Profile后面会有Instantiated with ...（类似下图的形式），这时可以直接使用工具提供的这个版本。

pslist用于查询系统进程。这个命令无法检测列出隐藏或未链接的进程。

例如：2022蓝帽杯

volatility.exe -f 1.dmp --profile=Win7SP1x64 pslist

pstree用于查看进程列表的树状形式。可以很方便的看到父子进程，更快速的判断恶意进程。一般PPID大于PID的进程比较可以，有很大可能进程有异常程序。

例如otterctf Memory Forensics

volatility.exe -f G:取证赛题OtterCTF.vmem --profile=Win7SP1x64 pstree

psscan用于查询已终止（非活动）的进程以及被rootkit隐藏或解除链接的进程。

volatility.exe -f G:工作数信杯加密大附件secretdata.raw --profile=Win7SP1x64 psscan

psxview用于查找带有隐藏进程的所有进程列表。

volatility.exe -f 1.vmem --profile=Win7SP1x64 psxview

例如：第二届山东省数据安全职业技能竞赛

filescan用于扫描所有的文件。

volatility.exe -f 1.vmem --profile=Win7SP1x64 filescan

命令可结合grep使用，例如第二届山东省数据安全职业技能竞赛。

volatility.exe -f 1.vmem --profile=Win7SP1x64 filescan | grep "vds_ps.exe"

dumpfiles用于提取内存映射和缓存的文件。需结合filescan结果使用。

例如数信杯初赛

volatility.exe -f WIN-T89OD3C9LOC-20231229-081734.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007e4556a0 -D E:/tools/volatility_2.6_win64_standalone

netscan用于查看网络连接和获取本机ip。

例如数信杯初赛

volatility.exe -f WIN-T89OD3C9LOC-20231229-081734.raw --profile=Win7SP1x64 netscan

connections/connscan也是用于查看网络连接，可作为netscan命令的替代。该命令仅能用在x86和x64 Windows XP和Windows 2003 Server。

hashdump用于查看用户名和密码的hash值，用于爆破。

例如2022蓝帽杯

volatility.exe -f 1.dmp --profile=Win7SP1x64 hashdump

lsadump用于从注册表中转储（解密）LSA机密。Local Security Authority（LSA）：它是 Windows 操作系统中的一个关键组件，主要负责本地安全策略、用户认证以及安全相关的管理工作。

例如46届世界技能大赛湖北省选拔赛

volatility.exe -f "G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem" --profile=Win7SP1x64 lsadump

mimikatz用于使用mimikatz插件获取明文密码。该命令需要额外安装mimikatz插件才能使用。下载地址https://github.com/volatilityfoundation/community/blob/master/FrancescoPicasso/mimikatz.py。使用时指定对应的插件目录即可。--plugin=/home/kali/Desktop/volatility-2.6/volatility/plugins/

插件需要安装construct库pip install construct，可能存在报错。

这是construct库版本问题，使用以下命令即可正常使用。

pip2 uninstall construct
pip2 install construct==2.5.5-reupload

例如2022蓝帽杯

vol.py --plugin=/home/kali/Desktop/volatility-2.6/volatility/plugins/ -f '/home/kali/Desktop/2022蓝帽杯.dmp' --profile=Win7SP1x64 mimikatz

iehistory用于查看浏览器缓存和历史记录。

例如46届世界技能大赛湖北省选拔赛

获取当前系统浏览器搜索过的关键词，作为 Flag 提交

volatility.exe -f G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem --profile=Win7SP1x64 iehistory

memdump用于提取指定的进程内容，需和pslist等配合使用。

例如otterctf Memory Forensics

volatility.exe -f G:取证赛题OtterCTF.vmem --profile=Win7SP1x64 memdump -p 708 -D E:toolsvolatility_2.6_win64_standalone

dump出来的进程文件，可以结合 foremost 来分离。还可以使用strings '/home/kali/Desktop/708.dmp' | grep Lunar-3 -A 5 -B 5来搜索关键字。

procdump用于将进程转储到可执行文件。

例如otterctf Memory Forensics

首先导出恶意勒索程序。

volatility.exe -f G:取证赛题OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D E:toolsvolatility_2.6_win64_standalone

strings -e l '/home/kali/Desktop/executable.3720.exe' | grep -A 5 -B 5 "paid"

cmdscan用于查看cmd历史命令记录。

例如2022鹏城杯

volatility.exe -f G:取证赛题2022鹏城杯.raw --profile=WinXPSP2x86 cmdscan

consoles类似于cmdscan命令，它不仅打印出攻击者输入的命令，还收集整个屏幕缓冲区（输入和输出）。

例如2022鹏城杯

volatility.exe -f G:取证赛题2022鹏城杯.raw --profile=WinXPSP2x86 consoles

cmdline用于显示进程命令行参数。

例如2022鹏城杯

volatility.exe -f G:取证赛题2022鹏城杯.raw --profile=WinXPSP2x86 cmdline

hivelist用于查看注册表配置单元。

例如46届世界技能大赛湖北省选拔赛

获取当前系统 ip 地址及主机名，以 Flag{ip:主机名}形式提交

volatility.exe -f G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem --profile=Win7SP1x64 hivelist

hivedump用于查看注册表键名。

例如46届世界技能大赛湖北省选拔赛

获取当前系统 ip 地址及主机名，以 Flag{ip:主机名}形式提交

volatility.exe -f G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a000024010

printkey用于打印注册表项及其子项和值。可配合hivelist使用。

例如46届世界技能大赛湖北省选拔赛

获取当前系统 ip 地址及主机名，以 Flag{ip:主机名}形式提交

volatility.exe -f G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a000024010

volatility.exe -f G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a000024010 -K ControlSet001

volatility.exe -f G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a000024010 -K ControlSet001Control

volatility.exe -f G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a000024010 -K ControlSet001ControlComputerName

volatility.exe -f G:取证赛题46届世界技能大赛湖北省选拔赛worldskills3.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a000024010 -K ControlSet001ControlComputerNameComputerName

clipboard命令用于获取剪切板信息。

例如otterctf Memory Forensics

volatility.exe -f G:取证赛题OtterCTF.vmem --profile=Win7SP1x64 clipboard

dlllist命令用于列出某一进程加载的所有dll文件。

volatility.exe -f G:工作2024技能兴鲁金乡1.vmem --profile=Win7SP1x64 dlllist -o 0x000000007d336950

3.参考链接

https://www.forensics-wiki.com/volatility/js/

https://blog.csdn.net/m0_68012373/article/details/127419463

https://www.cnblogs.com/backlion/p/17871701.html

https://github.com/volatilityfoundation/volatility