取证分析 | Volatility工具使用

  • A+
所属分类:安全工具
取证分析 | Volatility工具使用
取证分析 | Volatility工具使用




声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。





取证分析 | Volatility工具使用
取证分析 | Volatility工具使用



1.Volatility功能介绍
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。


工具下载地址:https://github.com/volatilityfoundation


2.Volatility安装方式


目前作者已公布了两个版本的Volatility,Volatility2是基于py2环境,Volatility3是基于py3环境,接下来小编将带领大家分别对这两个环境进行安装。


(1)Volatility3环境的安装

首先请确保系统中已安装python3环境,安装pycrypto库函数


取证分析 | Volatility工具使用


进入到Volatility目录,执行如下指令,即可将Volatility成功安装

>>> sudo python3 setup.py install

取证分析 | Volatility工具使用


此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功

>>> sudo python3 vol.py -h

取证分析 | Volatility工具使用


(2)Volatility2环境的安装


首先请确保系统中已安装python2环境,安装pycrypto库函数

首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/


取证分析 | Volatility工具使用


注意:如果遇到报错可尝试执行如下命令,解决问题:

>>> sudo apt-get install python-dev>>> sudo pip install setuptools进入到Volatility目录,执行如下指令,即可将Volatility成功安装>>> sudo python2 setup.py install


取证分析 | Volatility工具使用

此时,就成功安装了Volatility2工具,可以执行如下指令查看是否安装是成功

>>> sudo python2 vol.py -h


取证分析 | Volatility工具使用

3.Volatility使用方式

   Volatility2的使用方法


(1) 获取系统基本信息

>>>python2 vol.py -f ../Target.vmem imageinfo


取证分析 | Volatility工具使用


(2) 列出进程信息

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist


取证分析 | Volatility工具使用


(3) 提取某进程文件内容

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D /


取证分析 | Volatility工具使用


(4) 查看文件目录

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan


取证分析 | Volatility工具使用


(5) 提取某文件内容

>>>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./


取证分析 | Volatility工具使用


(6) 调用mimikatz抓取系统口令

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz


取证分析 | Volatility工具使用


  Volatility3的使用方法


(1) 获取系统基本信息

>>>sudo python3 vol.py -f ../Target.vmem windows.info

取证分析 | Volatility工具使用


(2) 列出进程信息

取证分析 | Volatility工具使用


(3) 提取某进程文件内容

>>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump

取证分析 | Volatility工具使用


(4) 查看文件目录

取证分析 | Volatility工具使用


(5) 提取某文件内容(此功能存在问题,待进一步解决!)

取证分析 | Volatility工具使用



- 往期推荐 -



应急实战 | 记一次日志缺失的挖矿排查

安全运维 | Supervisor进程管理工具


本文始发于微信公众号(SecPulse安全脉搏):取证分析 | Volatility工具使用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: