CTFer内存取证60个高频使用命令清单

admin 2025年6月7日10:00:23评论3 views字数 3866阅读12分53秒阅读模式

🛠️ Volatility 功能模块一览

Windows 功能模块

Volatility 提供了丰富的插件,帮助你在 Windows 系统中进行深度内存取证。以下是一些常用模块及其功能:

模块名称 功能描述
amcache
提取 AmCache 中的应用程序痕迹信息
apihooks
检测内核及进程内存中的 API 钩子
atoms
列出会话及窗口站的 atom 表
atomscan
扫描并提取 Atom 表的池信息
auditpol
提取注册表中的审计策略信息
bigpools
转储大分页池 (Big Page Pools) 数据
bioskbd
从实时模式内存中读取键盘缓冲数据(可提取 BIOS 开机密码)
cachedump
提取内存中缓存的域账号密码哈希
callbacks
列出全系统的通知例程
clipboard
提取 Windows 剪贴板中的内容
cmdline
显示进程的命令行参数
cmdscan
提取命令行历史记录(扫描 _COMMAND_HISTORY 信息)
connections
列出系统打开的网络连接(仅支持 Windows XP 和 2003)
connscan
提取 TCP 连接信息
consoles
提取命令行历史记录(扫描 _CONSOLE_INFORMATION 信息)
crashinfo
提取系统崩溃转储信息
deskscan
扫描 tagDESKTOP 池信息
devicetree
显示设备树信息
dlldump
从进程地址空间转储动态链接库
dlllist
列出每个进程加载的动态链接库
driverirp
检测驱动中的 IRP 钩子
drivermodule
关联驱动对象与内核模块
driverscan
扫描驱动对象池
dumpcerts
提取 RAS 私钥及 SSL 公钥
dumpfiles
提取内存中映射或缓存的文件
dumpregistry
将内存中的注册表信息转储到磁盘
editbox
查看 Edit 控件中的文本内容
envars
显示进程的环境变量
eventhooks
列出 Windows 事件钩子的详细信息
evtlogs
提取 Windows 事件日志(仅支持 XP/2003)
filescan
提取文件对象池信息
gahti
转储用户句柄类型信息
gditimers
列出已安装的 GDI 计时器及回调函数
gdt
显示全局描述符表 (GDT)
getservicesids
提取注册表中的服务名称并返回 SID 信息
getsids
列出每个进程的 SID 信息
handles
列出每个进程打开的句柄
hashdump
提取内存中的 Windows 账户密码哈希 (LM/NTLM)
hibinfo
提取休眠文件信息
hivedump
打印注册表配置单元信息
hivelist
列出注册表配置单元
hivescan
扫描注册表配置单元池
hpakextract
从 HPAK 文件(Fast Dump 格式)提取物理内存数据
hpakinfo
查看 HPAK 文件属性及信息
idt
显示中断描述符表 (IDT)
iehistory
重建 IE 浏览器的缓存及访问历史记录
imagecopy
将物理内存导出为原生 DD 镜像文件
imageinfo
查看或识别内存镜像信息
impscan
扫描对导入函数的调用
joblinks
列出进程任务链接信息
kdbgscan
搜索并提取潜在的 KDBG 值
kpcrscan
搜索并提取潜在的 KPCR 值
ldrmodules
检测未链接的动态链接库 (DLL)
lsadump
提取注册表中的 LSA 密钥信息(已解密)
machoinfo
提取 Mach-O 文件格式信息
malfind
查找隐藏或注入的代码
mbrparser
扫描并解析潜在的主引导记录 (MBR)
memdump
转储进程的可寻址内存
memmap
打印内存映射信息
messagehooks
列出桌面和窗口消息钩子的线程
mftparser
扫描并解析潜在的 MFT 条目
moddump
将内核驱动程序转储为可执行文件
modscan
扫描内核模块池
modules
列出已加载的内核模块
multiscan
批量扫描多种对象
mutantscan
扫描互斥对象池
notepad
提取记事本中显示的文本
objtypescan
扫描窗口对象类型
patcher
基于页面扫描修补内存
poolpeek
可配置的池扫描器
printkey
打印注册表项及其子项和值
privs
显示进程的权限
procdump
将进程转储为可执行文件
pslist
列出所有正在运行的进程
psscan
扫描进程对象池
pstree
以树形结构列出进程
psxview
查找隐藏进程
qemuinfo
提取 Qemu 信息
raw2dmp
将物理内存数据转换为 WinDbg 崩溃转储格式
screenshot
保存基于 GDI 的虚拟屏幕截图
servicediff
列出 Windows 服务(类似 Plugx)
sessions
列出用户登录会话的详细信息
shellbags
提取 Shellbags 信息
shimcache
解析应用程序兼容性 Shim 缓存注册表项
shutdowntime
从注册表中提取系统关机时间
sockets
列出已打开的套接字
sockscan
扫描 TCP 套接字对象池
ssdt
显示 SSDT 条目
strings
匹配物理地址到虚拟地址的偏移(需时较长)
svcscan
扫描 Windows 服务列表
symlinkscan
扫描符号链接对象池
thrdscan
扫描线程对象池
threads
分析 _ETHREAD 和 _KTHREAD 结构
timeliner
创建内存痕迹的时间线
timers
列出内核计时器及关联的 DPC
truecryptmaster
恢复 TrueCrypt 7.1a 主密钥
truecryptpassphrase
查找并提取 TrueCrypt 密码
truecryptsummary
提取 TrueCrypt 摘要信息
unloadedmodules
列出已卸载的模块
userassist
提取注册表中的 UserAssist 信息
userhandles
转储用户句柄表
vaddump
转储 VAD 数据为文件
vadinfo
提取 VAD 信息
vadtree
以树形结构显示 VAD 信息
vadwalk
遍历 VAD 树
vboxinfo
提取 VirtualBox 虚拟机信息
verinfo
提取 PE 文件中的版本信息
vmwareinfo
提取 VMware VMSS/VMSN 信息
volshell
在内存镜像中启动交互式 shell
windows
列出桌面窗口的详细信息
wintree
以 Z 顺序列出桌面窗口树
wndscan
扫描窗口站池
yarascan
使用 Yara 规则扫描进程或内核内存

Linux 功能模块

Volatility 同样支持 Linux 系统的内存取证,以下是常用模块及其功能:

进程分析

  • 查看进程列表

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_pslistvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_psauxvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_pstree
  • 保存进程内存

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_procdump 2187 --dump-dir=./dump

网络分析

  • 查看网络连接

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_netstatvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_netscan
  • 提取浏览器网络历史

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_netstat -p <browser PID>

文件与历史记录

  • 恢复 bash 历史记录

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_bash
  • 提取进程环境变量

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_bash_env

系统信息

  • 查看 ARP 表

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_arp
  • 列出进程工作目录

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_getcwd

文件与设备

  • 列出打开的文件与网络连接

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_lsof
  • 提取系统活动接口信息

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_ifconfig

高级功能

  • 查找文件

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_enumerate_files | grep 'places.sqlite'
  • 保存文件

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_find_file -i 0xffff997931585c00 -O EvoW57sb.7z.part

安全相关

  • 提取 SSH 密钥

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_sshkeys
  • 查看已挂载设备

    volatility -f out.mem --profile=LinuxUbuntu16x64 linux_mount

原文始发于微信公众号(土拨鼠的安全屋):CTFer内存取证60个高频使用命令清单

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日10:00:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CTFer内存取证60个高频使用命令清单http://cn-sec.com/archives/3803129.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息