前言
volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统,能够对导出的windows,linux,mac osx,android等系统内存镜像进行分析。可以通过插件来拓展功能。
私信助安社区公众号发送 取证 领取相关文件工具
常见命令
命令格式:
volatility -f [镜像文件] --profile=[操作系统] [插件参数]
volatility -f 文件名 imageinfo 得到镜像的基本信息。
volatility -f 文件名 --profile=系统 pslist 查看进程信息
volatility -f 文件名 --profile=系统 pstree 查看进程树
volatility -f 文件名 --profile=系统 hashdump 查看用户名密码信息
volatility -f 文件名 --profile=系统 john 爆破密码
volatility -f 文件名 --profile=系统 lsadump 查看用户强密码
volatility -f 文件名 --profile=系统 svcscan 查看服务
volatility -f 文件名 --profile=系统 iehistory 查看IE浏览器历史记录
volatility -f 文件名 --profile=系统 netscan 查看网络连接
volatility -f 文件名 --profile=系统 cmdscan cmd历史命令
volatility -f 文件名 --profile=系统 consoles 命令历史记录
volatility -f 文件名 --profile=系统 cmdline 查看cmd输出, 获取命令行下运行的程序
volatility -f 文件名 --profile=系统 envars 查看环境变量,一般很多配合grep筛选,可也是使用-p指定pid
volatility -f 文件名 --profile=系统 filescan 查看文件
volatility -f 文件名 --profile=系统 notepad 查看当前展示的notepad内容
volatility -f 文件名 --profile=系统 hivelist 查看注册表配置单元
volatility -f 文件名 --profile=系统 userassist 查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等。
volatility -f 文件名 --profile=系统 clipboard 查看剪贴板的信息
volatility -f 文件名 --profile=系统 timeliner 最大程序提取信息
volatility -f 文件名 --profile=系统 Dumpregistry 提取日志文件
volatility -f 文件名 --profile=系统 dlllist 进程相关的dll文件列表
volatility -f 文件名 --profile=系统 memdump -p xxx --dump-dir=./ 提取进程
volatility -f 文件名 --profile=系统 dumpfiles -Q 0xxxxxxxx -D ./