声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
工具下载地址:https://github.com/volatilityfoundation
2.Volatility安装方式
目前作者已公布了两个版本的Volatility,Volatility2是基于py2环境,Volatility3是基于py3环境,接下来小编将带领大家分别对这两个环境进行安装。
(1)Volatility3环境的安装
首先请确保系统中已安装python3环境,安装pycrypto库函数
进入到Volatility目录,执行如下指令,即可将Volatility成功安装
> sudo python3 setup.py install
此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功
> sudo python3 vol.py -h
(2)Volatility2环境的安装
首先请确保系统中已安装python2环境,安装pycrypto库函数
首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/
注意:如果遇到报错可尝试执行如下命令,解决问题:
> sudo apt-get install python-dev> sudo pip install setuptools进入到Volatility目录,执行如下指令,即可将Volatility成功安装> sudo python2 setup.py install
此时,就成功安装了Volatility2工具,可以执行如下指令查看是否安装是成功
> sudo python2 vol.py -h
3.Volatility使用方式
Volatility2的使用方法
(1) 获取系统基本信息
>python2 vol.py -f ../Target.vmem imageinfo
(2) 列出进程信息
> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist
(3) 提取某进程文件内容
> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D /
(4) 查看文件目录
> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan
(5) 提取某文件内容
>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./
(6) 调用mimikatz抓取系统口令
> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz
Volatility3的使用方法
(1) 获取系统基本信息
>sudo python3 vol.py -f ../Target.vmem windows.info
(2) 列出进程信息
(3) 提取某进程文件内容
>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump
(4) 查看文件目录
(5) 提取某文件内容(此功能存在问题,待进一步解决!)
- 往期推荐 -
本文始发于微信公众号(SecPulse安全脉搏):取证分析 | Volatility工具使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论