🛠️ Volatility 功能模块一览
Windows 功能模块
Volatility 提供了丰富的插件,帮助你在 Windows 系统中进行深度内存取证。以下是一些常用模块及其功能:
模块名称 | 功能描述 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Linux 功能模块
Volatility 同样支持 Linux 系统的内存取证,以下是常用模块及其功能:
进程分析
-
查看进程列表: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_pslistvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_psauxvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_pstree
-
保存进程内存: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_procdump 2187 --dump-dir=./dump
网络分析
-
查看网络连接: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_netstatvolatility -f out.mem --profile=LinuxUbuntu16x64 linux_netscan
-
提取浏览器网络历史: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_netstat -p <browser PID>
文件与历史记录
-
恢复 bash 历史记录: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_bash
-
提取进程环境变量: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_bash_env
系统信息
-
查看 ARP 表: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_arp
-
列出进程工作目录: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_getcwd
文件与设备
-
列出打开的文件与网络连接: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_lsof
-
提取系统活动接口信息: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_ifconfig
高级功能
-
查找文件: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_enumerate_files | grep 'places.sqlite'
-
保存文件: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_find_file -i 0xffff997931585c00 -O EvoW57sb.7z.part
安全相关
-
提取 SSH 密钥: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_sshkeys
-
查看已挂载设备: volatility -f out.mem --profile=LinuxUbuntu16x64 linux_mount
原文始发于微信公众号(土拨鼠的安全屋):CTFer内存取证60个高频使用命令清单
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论