windows下的volatility取证分析与讲解

最新推荐文章于 2025-03-20 15:08:47 发布
原创 最新推荐文章于 2025-03-20 15:08:47 发布
· 1.5k 阅读 · 12 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#计算机

本文介绍了在Windows环境下如何使用Volatility工具进行取证分析,包括下载、查看基本信息、进程、镜像CMD历史命令、文件查找、进程权限、环境变量等操作。还涉及到了导出注册表、屏幕截图、剪贴板数据、浏览器历史记录、用户名和密码的MD5加密等信息的查看和导出。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Python微信订餐小程序课程视频

https://edu.youkuaiyun.com/course/detail/36074

Python实战量化交易理财系统

https://edu.youkuaiyun.com/course/detail/35475

volatility(win64)

1.下载

volatility

下载地址:(我下载的版本2.6,并把名字稍微改了一下)

Release Downloads | Volatility Foundation

windows版

image-20220403093641587

2.使用

1.查看基本信息

查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起

例如:

image-20220403094028047

打开终端,输入命令,

./volatility -f memory.img imageinfo

可以看到各种信息,标出的几个是比较重要的

image-20220403094158458

2.查看进程
./volatility -f memory.img --profile=Win2003SP1x86 pslist

profile具体内容根据实际文件为准,pslist应该比较好理解就是进程的列表的意思。

image-20220403094523855

tips:

把pslist可以替换成完成不同的功能

psxview : 可查看一些隐藏进程
pstree : 以树的形式来列出正在进行的进程,不会显示出隐藏或未链接的进程(套神说的)

psxview:

最低0.47元/天 解锁文章
全国(山东、安徽)职业技能大赛--信息安全管理评估大赛题目+答案讲解——操作系统取证
人若无名,便可专心练剑
01-04 990
保护数据,捍卫安全,展现技能,赢得荣耀!全国职业技能大赛-信息安全评估大赛,挑战你的技术,揭示黑客的秘密!加入我们,成为信息安全的守护者!
Volatility内存分析
jh035512的博客
11-15 547
由于此工具功能过于全面,所以对于工具使用的背后,分析人员所需要的基本功要求很高(显然我不行:) 所以目前只学习几个较为常用简单的功能语句,后续当有相对应的分析任务时,会根据任务情况进行对应的讲解学习(涉密文件除外)yarascan -y fm.yara :当然也可以根据一些可疑字符串进行全盘内存的搜索匹配,利用写好的yara规则进行匹配。在dump时要注意,因为是内存镜像,所以要指定dump蜂巢的内存地址,而内存地址的选择要注意是内存虚地址。dump进程内存:memdump -p 进程PID -D 路径。
关于我在windows使用volatility取证这档事
u011250160的博客
09-24 7347
官网下载地址:https://www.volatilityfoundation.org/releases volatility3的官方文档:https://volatility3.readthedocs.io/en/latest/basics.html 下载 看清有两个版本,用法不一样 第一次我下载了Volatility 2.6 Windows Standalone Executable (x64) 结果执行Volatility.exe老是报出error 然后我果断删除了2.6 下载了3.0 版本差异 而
windows下的volatility的内存取证分析讲解
热门推荐
cuihua的博客
04-03 1万+
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
内存取证windows-Volatility 3
最新发布
2303_81631620的博客
03-20 1358
系统信息:显示操作系统的基本信息。vol -f <内存镜像文件路径> windows.info进程列表:列出所有进程。vol -f <内存镜像文件路径> windows.pslist网络连接:列出网络连接和套接字。vol -f <内存镜像文件路径> windows.netscan文件扫描:扫描内存中的文件对象。vol -f <内存镜像文件路径> windows.filescan注册表分析:列出注册表 hive 文件。
windows安装Volatility3
weixin_74062643的博客
03-26 2453
windows安装Volatility3
电子取证--windows下的volatility分析讲解
LCW991207的博客
12-04 1737
CTF--电子取证--windows下的volatility分析讲解
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 4731
南华城里月如昼,十二玉楼非吾乡
Windows取证
风炫的博客
03-26 7428
Windows取证 基础 取证通常作为一个公司的事件响应调查人员或者司法调查的取证人员,通过调查被入侵的机器,将被入侵者的行为轨迹梳理出来,还原整个入侵的过程。对于入侵者而言,了解电子取证,可以更全面的了解到自己能够在系统中留下的痕迹,从而具有针对性的消除痕迹,而对于取证人员来说,电子取证无疑是了解整个入侵过程的关键。电子取证近年来也发展为了一个独立的学科,其中在安全竞赛中,电子取证也作为一部分考察内容,被纳入到杂项的大类中,也有只考察取证的竞赛。下面从技术层面介绍Windows取证的相关知识。 审查日志
Python数字取证分析实战
4. **内存取证**:Python可以用于分析内存快照,帮助找出恶意软件活动的迹象,书可能会介绍如何利用Python库如 volatility 进行内存分析。 5. **加密解密**:Python支持多种加密算法,书中可能会讨论如何使用...
全国职业技能大赛信息安全:操作系统内存取证详解
资源摘要信息:"全国(山东、安徽)职业技能大赛-信息安全管理评估大赛题目+答案讲解-操作系统取证" 本资源集涉及的是全国职业技能大赛中,信息安全管理评估领域中的操作系统取证部分。操作系统取证(OS Forensics...
windowsvolatility3-2.7.0内存取证工具安装及遇到的问题解决方法
weixin_44697846的博客
06-02 7539
windowsvolatility3-2.7.0内存取证工具安装及问题解决方法
volatility_2.6_win64system_standalone.rar
10-08
内存取证分析工具volatility windows
Volatility内存分析工具 - 某即时通讯软件Windows端数据库密钥的分析
m0_37779785的博客
02-01 2100
介绍了一种使用Volatility从内存镜像中分析某即时通讯软件Windows端数据库密钥的方法。
渗透测试内存取证
Zgnb173659的博客
08-05 1796
内存取证是指通过分析计算机系统的内存(RAM)来获取有关系统运行状态、用户活动和执行过程的信息。内存取证通常用于数字取证领域,旨在收集关键的计算机数据,以便分析和研究可能发生的安全事件、恶意软件活动或其他计算机相关事件。
内存取证——volatility学习
m0_75236662的博客
05-27 2459
在做计算机最后两道题目碰到了MP3格式的镜像,分析发现是计算机内存,要进行内存取证。现在内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件通过盘古石比赛了解了内存取证类型的题目,在看别人题解的时候发现volatility为主流分析工具,安装后大致了解了操作流程和功能点。
取证分析--内存取证(Volatility)
金灰的博客
12-30 981
userassist。
volatility内存取证分析讲解(持续更新)
qq_49422880的博客
02-28 7456
volatility内存取证分析讲解0x01 volatility的安装0x02 基本使用0x03 取证实战(持续更新)0x04 总结 0x01 volatility的安装 本人暂时只使用windows下的volatility进行取证,安装方法如下: volatility安装网址 进去之后,找到windows版本然后直接下载即可。 直接解压,就能用。 0x02 基本使用 1.volatility_2.6.exe -f .\Target.vmem imageinfo 查看镜像的基本信息。使用的时候可以将
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值