volatility取证

最新推荐文章于 2024-05-15 02:26:52 发布
最新推荐文章于 2024-05-15 02:26:52 发布
阅读量1.8k 收藏 26
点赞数 2
CC 4.0 BY-SA版权
文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sechelper/article/details/128223550
本文介绍了如何使用开源工具Volatility对Windows内存镜像进行取证分析,包括密码获取、主机名查找、网络活动检查、游戏连接服务器识别、账户名搜索、恶意软件检测及其入侵路径分析、比特币地址查找和隐藏图像信息提取等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统,能够对导出的windows,linux,mac osx,android等系统内存镜像进行分析。可以通过插件来拓展功能。

私信助安社区公众号发送 取证 领取相关文件工具

常见命令

命令格式:

volatility -f [镜像文件] --profile=[操作系统] [插件参数]

volatility -f 文件名 imageinfo  		     	 得到镜像的基本信息。
volatility -f 文件名 --profile=系统 pslist		查看进程信息
volatility -f 文件名 --profile=系统 pstree	    查看进程树
volatility -f 文件名 --profile=系统 hashdump		查看用户名密码信息
volatility -f 文件名 --profile=系统 john			爆破密码
volatility -f 文件名 --profile=系统 lsadump		查看用户强密码
volatility -f 文件名 --profile=系统 svcscan		查看服务
volatility -f 文件名 --profile=系统 iehistory	查看IE浏览器历史记录
volatility -f 文件名 --profile=系统 netscan		查看网络连接
volatility -f 文件名 --profile=系统 cmdscan		cmd历史命令
volatility -f 文件名 --profile=系统 consoles		命令历史记录
volatility -f 文件名 --profile=系统 cmdline		查看cmd输出, 获取命令行下运行的程序   
volatility -f 文件名 --profile=系统 envars 		查看环境变量,一般很多配合grep筛选,可也是使用-p指定pid
volatility -f 文件名 --profile=系统 filescan		查看文件
volatility -f 文件名 --profile=系统 notepad		查看当前展示的notepad内容
volatility -f 文件名 --profile=系统 hivelist		查看注册表配置单元
volatility -f 文件名 --profile=系统 userassist	查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等。
volatility -f 文件名 --profile=系统 clipboard  	查看剪贴板的信息
volatility -f 文件名 --profile=系统 timeliner	最大程序提取信息
volatility -f 文件名 --profile=系统 Dumpregistry	提取日志文件
volatility -f 文件名 --profile=系统 dlllist		进程相关的dll文件列表 
volatility -f 文件名 --profile=系统 memdump -p xxx --dump-dir=./ 	提取进程
volatility -f 文件名 --profile=系统 dumpfiles -Q 0xxxxxxxx -D ./
最低0.47元/天 解锁文章

200万优质内容无限畅学
助安社区
关注
Linux 内存取证进程空间取证Volatility取证
NFMSR的博客
08-10 3104
进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat /proc/<pid>/maps...
volatility命令使用 misc部分取证解题(部分内存取证
(●'◡'●)
07-13 4189
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取 将内存中的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
windows下的volatility的内存取证分析与讲解
cuihua的博客
04-03 1万+
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
最新发布
2401_85013565的博客
05-15 2169
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(2)
2401_85013565的博客
05-15 1122
amcache - 打印 AmCache 信息apihooks - 检测进程和内核内存中的 API 挂钩atoms - 打印会话和窗口站原子表atomscan - 原子表的池扫描器auditpol - 从 HKLM\SECURITY\Policy\PolAdtEv 打印出审计策略。
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
windows下的volatility取证分析与讲解
「 虚幻私塾」
04-03 1530
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使
volatility内存取证
yuyu
04-21 1839
本文主要讲述volatility软件的安装与使用
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 10万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证volatility工具命令详解
Y525698136的博客
01-04 4360
内存取证volatility工具命令详解
内存取证工具Volatility使用
https://goodlunatic.github.io/
08-15 1802
内存取证工具Volatility使用
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3836
内存取证神器Volatility常用指令大全
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 4864
南华城里月如昼,十二玉楼非吾乡
内存取证工具Volatility学习
crowsec
09-14 7046
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程
volatility常用的命令
菜菜的博客
09-30 2635
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
【技术分享】实战volatility内存取证
dzqxwzoe的博客
11-24 947
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家所合作开发的一套工具, 可以用于windows、linux、macosx和android等系统内存取证,在应急响应、系统分析、取证领域有着举足轻重的地位。本期技术分享,小星将带大家从三个实战环境中来了解volatility的使用与技巧。
volatility内存取证问题,命令总结,解题思路汇总
m0_64169451的博客
05-06 951
查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容(mimikatz插件可以获取系统明文密码)查看当前展示的 notepad 文本(–profile=winxp啥的低版本可以,win7的不行,可以尝试使用editbox)dump出来的进程文件,可以使用 foremost 来分离里面的文件,用 binwak -e 不推荐。editbox:显示有关编辑控件(曾经编辑过的内容)的信息 查看内存中记事本的内容。查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等。
金砖技能大赛-应急响应-内存镜像分析-进程分析
WEB渗透测试 从入门到萌新
09-30 5584
作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值