CTFer内存取证60个高频使用命令清单

admin

145347
文章

119
评论

2025年6月7日10:00:23评论20 views字数 3866阅读12分53秒阅读模式

🛠️ Volatility 功能模块一览

Windows 功能模块

Volatility 提供了丰富的插件，帮助你在 Windows 系统中进行深度内存取证。以下是一些常用模块及其功能：

模块名称	功能描述
amcache	提取 AmCache 中的应用程序痕迹信息
apihooks	检测内核及进程内存中的 API 钩子
atoms	列出会话及窗口站的 atom 表
atomscan	扫描并提取 Atom 表的池信息
auditpol	提取注册表中的审计策略信息
bigpools	转储大分页池 (Big Page Pools) 数据
bioskbd	从实时模式内存中读取键盘缓冲数据（可提取 BIOS 开机密码）
cachedump	提取内存中缓存的域账号密码哈希
callbacks	列出全系统的通知例程
clipboard	提取 Windows 剪贴板中的内容
cmdline	显示进程的命令行参数
cmdscan	提取命令行历史记录（扫描 _COMMAND_HISTORY 信息）
connections	列出系统打开的网络连接（仅支持 Windows XP 和 2003）
connscan	提取 TCP 连接信息
consoles	提取命令行历史记录（扫描 _CONSOLE_INFORMATION 信息）
crashinfo	提取系统崩溃转储信息
deskscan	扫描 tagDESKTOP 池信息
devicetree	显示设备树信息
dlldump	从进程地址空间转储动态链接库
dlllist	列出每个进程加载的动态链接库
driverirp	检测驱动中的 IRP 钩子
drivermodule	关联驱动对象与内核模块
driverscan	扫描驱动对象池
dumpcerts	提取 RAS 私钥及 SSL 公钥
dumpfiles	提取内存中映射或缓存的文件
dumpregistry	将内存中的注册表信息转储到磁盘
editbox	查看 Edit 控件中的文本内容
envars	显示进程的环境变量
eventhooks	列出 Windows 事件钩子的详细信息
evtlogs	提取 Windows 事件日志（仅支持 XP/2003）
filescan	提取文件对象池信息
gahti	转储用户句柄类型信息
gditimers	列出已安装的 GDI 计时器及回调函数
gdt	显示全局描述符表 (GDT)
getservicesids	提取注册表中的服务名称并返回 SID 信息
getsids	列出每个进程的 SID 信息
handles	列出每个进程打开的句柄
hashdump	提取内存中的 Windows 账户密码哈希 (LM/NTLM)
hibinfo	提取休眠文件信息
hivedump	打印注册表配置单元信息
hivelist	列出注册表配置单元
hivescan	扫描注册表配置单元池
hpakextract	从 HPAK 文件（Fast Dump 格式）提取物理内存数据
hpakinfo	查看 HPAK 文件属性及信息
idt	显示中断描述符表 (IDT)
iehistory	重建 IE 浏览器的缓存及访问历史记录
imagecopy	将物理内存导出为原生 DD 镜像文件
imageinfo	查看或识别内存镜像信息
impscan	扫描对导入函数的调用
joblinks	列出进程任务链接信息
kdbgscan	搜索并提取潜在的 KDBG 值
kpcrscan	搜索并提取潜在的 KPCR 值
ldrmodules	检测未链接的动态链接库 (DLL)
lsadump	提取注册表中的 LSA 密钥信息（已解密）
machoinfo	提取 Mach-O 文件格式信息
malfind	查找隐藏或注入的代码
mbrparser	扫描并解析潜在的主引导记录 (MBR)
memdump	转储进程的可寻址内存
memmap	打印内存映射信息
messagehooks	列出桌面和窗口消息钩子的线程
mftparser	扫描并解析潜在的 MFT 条目
moddump	将内核驱动程序转储为可执行文件
modscan	扫描内核模块池
modules	列出已加载的内核模块
multiscan	批量扫描多种对象
mutantscan	扫描互斥对象池
notepad	提取记事本中显示的文本
objtypescan	扫描窗口对象类型
patcher	基于页面扫描修补内存
poolpeek	可配置的池扫描器
printkey	打印注册表项及其子项和值
privs	显示进程的权限
procdump	将进程转储为可执行文件
pslist	列出所有正在运行的进程
psscan	扫描进程对象池
pstree	以树形结构列出进程
psxview	查找隐藏进程
qemuinfo	提取 Qemu 信息
raw2dmp	将物理内存数据转换为 WinDbg 崩溃转储格式
screenshot	保存基于 GDI 的虚拟屏幕截图
servicediff	列出 Windows 服务（类似 Plugx）
sessions	列出用户登录会话的详细信息
shellbags	提取 Shellbags 信息
shimcache	解析应用程序兼容性 Shim 缓存注册表项
shutdowntime	从注册表中提取系统关机时间
sockets	列出已打开的套接字
sockscan	扫描 TCP 套接字对象池
ssdt	显示 SSDT 条目
strings	匹配物理地址到虚拟地址的偏移（需时较长）
svcscan	扫描 Windows 服务列表
symlinkscan	扫描符号链接对象池
thrdscan	扫描线程对象池
threads	分析 _ETHREAD 和 _KTHREAD 结构
timeliner	创建内存痕迹的时间线
timers	列出内核计时器及关联的 DPC
truecryptmaster	恢复 TrueCrypt 7.1a 主密钥
truecryptpassphrase	查找并提取 TrueCrypt 密码
truecryptsummary	提取 TrueCrypt 摘要信息
unloadedmodules	列出已卸载的模块
userassist	提取注册表中的 UserAssist 信息
userhandles	转储用户句柄表
vaddump	转储 VAD 数据为文件
vadinfo	提取 VAD 信息
vadtree	以树形结构显示 VAD 信息
vadwalk	遍历 VAD 树
vboxinfo	提取 VirtualBox 虚拟机信息
verinfo	提取 PE 文件中的版本信息
vmwareinfo	提取 VMware VMSS/VMSN 信息
volshell	在内存镜像中启动交互式 shell
windows	列出桌面窗口的详细信息
wintree	以 Z 顺序列出桌面窗口树
wndscan	扫描窗口站池
yarascan	使用 Yara 规则扫描进程或内核内存

Linux 功能模块

Volatility 同样支持 Linux 系统的内存取证，以下是常用模块及其功能：

进程分析

查看进程列表：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_pslistvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_psauxvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_pstree

保存进程内存：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_procdump 2187 --dump-dir=./dump

网络分析

查看网络连接：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_netstatvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_netscan

提取浏览器网络历史：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_netstat -p <browser PID>

文件与历史记录

恢复 bash 历史记录：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_bash

提取进程环境变量：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_bash_env

系统信息

查看 ARP 表：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_arp

列出进程工作目录：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_getcwd

文件与设备

列出打开的文件与网络连接：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_lsof

提取系统活动接口信息：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_ifconfig

高级功能

查找文件：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_enumerate_files | grep 'places.sqlite'

保存文件：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_find_file -i 0xffff997931585c00 -O EvoW57sb.7z.part

安全相关

提取 SSH 密钥：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_sshkeys

查看已挂载设备：

volatility -f out.mem --profile=LinuxUbuntu16x64 linux_mount

原文始发于微信公众号（土拨鼠的安全屋）：CTFer内存取证60个高频使用命令清单

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

CTFer内存取证60个高频使用命令清单

🛠️ Volatility 功能模块一览

Windows 功能模块

Linux 功能模块

进程分析

网络分析

文件与历史记录

系统信息

文件与设备

高级功能

安全相关

【密码学6】维吉尼亚密码

CTF选手的20种核心心态：从赛场新手到安全专家的修炼图谱！

【CTF】2025 0penHarmony CTF比赛(部分WP解析)

【CTF】2025 0penHarmony CTF比赛(部分WP解析)

CTF资料汇总帖

CTF实战精要：SQL注入绕过WAF的10种高阶姿势

【WP】PolarCTF2025年夏季个人挑战赛PWN方向全解

bi0sCTF 2025 Writeup by r3kapig

2021年江西工业互联网大赛-线上初赛Writeup

皮蛋厂的学习日记 2022.03.10 ARM再探 & [2022SUSCTF]happytree

发表评论

在线咨询

微信