volatility取证

本文介绍了如何使用开源工具Volatility对Windows内存镜像进行取证分析,包括密码获取、主机名查找、网络活动检查、游戏连接服务器识别、账户名搜索、恶意软件检测及其入侵路径分析、比特币地址查找和隐藏图像信息提取等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统,能够对导出的windows,linux,mac osx,android等系统内存镜像进行分析。可以通过插件来拓展功能。

私信助安社区公众号发送 取证 领取相关文件工具

常见命令

命令格式:

volatility -f [镜像文件] --profile=[操作系统] [插件参数]

volatility -f 文件名 imageinfo  		     	 得到镜像的基本信息。
volatility -f 文件名 --profile=系统 pslist		查看进程信息
volatility -f 文件名 --profile=系统 pstree	    查看进程树
volatility -f 文件名 --profile=系统 hashdump		查看用户名密码信息
volatility -f 文件名 --profile=系统 john			爆破密码
volatility -f 文件名 --profile=系统 lsadump		查看用户强密码
volatility -f 文件名 --profile=系统 svcscan		查看服务
volatility -f 文件名 --profile=系统 iehistory	查看IE浏览器历史记录
volatility -f 文件名 --profile=系统 netscan		查看网络连接
volatility -f 文件名 --profile=系统 cmdscan		cmd历史命令
volatility -f 文件名 --profile=系统 consoles		命令历史记录
volatility -f 文件名 --profile=系统 cmdline		查看cmd输出, 获取命令行下运行的程序   
volatility -f 文件名 --profile=系统 envars 		查看环境变量,一般很多配合grep筛选,可也是使用-p指定pid
volatility -f 文件名 --profile=系统 filescan		查看文件
volatility -f 文件名 --profile=系统 notepad		查看当前展示的notepad内容
volatility -f 文件名 --profile=系统 hivelist		查看注册表配置单元
volatility -f 文件名 --profile=系统 userassist	查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等。
volatility -f 文件名 --profile=系统 clipboard  	查看剪贴板的信息
volatility -f 文件名 --profile=系统 timeliner	最大程序提取信息
volatility -f 文件名 --profile=系统 Dumpregistry	提取日志文件
volatility -f 文件名 --profile=系统 dlllist		进程相关的dll文件列表 
volatility -f 文件名 --profile=系统 memdump -p xxx --dump-dir=./ 	提取进程
volatility -f 文件名 --profile=系统 dumpfiles -Q 0xxxxxxxx -D ./
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值