kali 安装volatility_kali对Windows内存在线取证

最新推荐文章于 2025-07-19 06:36:52 发布
最新推荐文章于 2025-07-19 06:36:52 发布
阅读量1k 收藏 5
点赞数 1
文章标签: kali 安装volatility kali基本系统安装出错 kali安装volatility kali没有arpspoof命令 kali重启命令 kali镜像

kali对Windows的内存取证

在kali系统上,有VOLATILITY等工具,可以方便的完成内存镜像取证等工作,如何将Windows系统内存镜像数据给VOLATILITY分析呢?除了通过DumpIt等第三方工具镜像为文件外,本文将介绍一种方法,将更方便的完成内存镜像取证。

准备工作

一台被内存镜像取证的电脑运行的windows系统

一台取证电脑运行的kali系统

两台电脑要能通过网络通信,并且最好是有线千M以上网络,因为windows系统的内存镜像数据,是要通过网络传到kali系统的,所以网络速度至关重要。

安装软件

在Windows系统上,安装RFBD,RFBD是跨平台的nbd-server,通过该服务实现读取Windows内存数据。

主页:http://ranfs.com/cn/?RFBD

用管理员权限运行powershell,执行如下命令:

$rfbd_dir="c:rfbd";Invoke-Expression(New-Object Net.WebClient).DownloadString("http://ranfs.com/pub/rfbd/all/get.ps1")

e27f51a26ba4269ed91cc5fcd9733f51.png

注意: $rfbd_dir="c:rfbd" 中的 c:rfbd为rfbd安装目录, 如要安装其它目录,请更改此路径。

在没有powershell系统里,请手动下载安装包,运行里面的install.bat即可完成安装。

关于防火墙配置,默认情况下,脚本自动配置了系统防火墙,放行了使用的端口,如果使用了其它防火墙,请手动放行10809端口和6780端口,10809为nbd服务端口,必须放行 ,6780为web调试和配置端口,根据需要放行。

在Kali系统上,执行如下命令

sudo apt install nbd-client
sudo modprobe nbd

c0c5239c421bcaaed8e066c307886de7.png

好了,基本工作准备完成

挂载内存镜像和分析

执行如下命令

sudo nbd-client -N /dev/pmem -b 4096 192.168.253.1 10809 /dev/nbd0

注意:-b 4096 为扇区字节数,192.168.253.1为RFBD所在系统ip地址。

sudo volatility -f /dev/nbd0 imageinfo

58261ab2c47b4c8771e564396e8497d0.png

接下来可使用volatility相关功能对/dev/nbd0进行分析,如同对远端Windows物理内存进行分析一样,需要注意这是在线分析,Windows内存数据在运行中,会不断改变。

如何开启读写挂载

默认情况,nbd-client挂载的设备为只读挂载,如何开启读和写支持呢?

1、修改rfbd.ini,配置字段 nbd_readonly=truenbd_readonly=false, 更改配置后需要重启rfbd服务才会生效。

2、使用web配置nbd.readonly_flag为 false, 更改设置后,不需要重启rfbd,但需要nbd-client断开后,重新执行挂载命令,设置方法如下,在kali系统里,使用浏览器打开 192.168.253.1:6780,点击配置如下图:

dec4cd3e93685884574e239c5f5bdb27.png

双击值true 更改为false, 然后鼠标点击空白处,点击在操作里出现的保存按钮。

支持挂载的文件名

在Windows系统下,支持如下别名文件

/dev/pmem 对应 DevicePhysicalMemory的别名,实现对物理内存读写

/dev/disk[0-9] 对应 .PhysicalDrive[0-9]的别名,实现对物理硬盘的读写

同时还支持文件路径名 如c:tmp1.img。使用命令如下:

sudo nbd-client -N c:tmp1.img -b 512 192.168.253.1 10809 /dev/nbd2

注意:请确保网络正常,及RFBD正常运行。

遇到不能解决的问题,请联系:tech@ranfs.com, 或加QQ群:599829506。

kali 安装volatility_电子取证技术之实战Volatility工具
weixin_30539747的博客
01-11 3146
作者:beswing预估稿费:300RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言这几天和麦香表哥一直在玩取证的事情,我也好好学习了Volatility 这个神器,一个开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统Volatility安装这次讲的是在linux下的取证,所以我安装的...
kali 安装volatility_Linux下内存取证工具Volatility的使用
weixin_39605521的博客
12-18 1643
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
kali安装Volatility
热门推荐
烟雨天青色
02-27 1万+
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
kali--volatility安装
(●'◡'●)
07-14 7697
直接下载安装包放在kali上,在本目录的命令窗口打开 (安装包在下边 在使用前建议先安装 库 distorm3 PyCryptodome/pycrypto(这个好像不能安了,但可以试试) 我是直接pip install distorm3 可能要完善pip2的包 见招拆招吧 因为volatility在python2.6以上的环境运行,我的kali里默认使用python3的版本所以不使用,这里涉及了python 2和3不同的编程问题,反正出现错误 试试我的方法,不行就爱莫能助了 使用方法可以看看.
kali 安装volatility_volatility取证学习-linux
weixin_39754267的博客
12-18 2762
第一次 按照大神的博客,完成这个实验,希望后来者,少入点坑工具介绍:volatilityvolatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具。Volatility‐f [image]­-‐profile=[profile][plugin]--info查看扫描检查、插件、地址空...
Volatility内存取证
12-30
Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
volatility内存取证
yuyu
04-21 1869
本文主要讲述volatility软件的安装与使用
volatility_2.6_lin64_standalone.zip
05-16
volatility_2.6_lin64_standalone.zip linux 版本,用于内存取证
kali安装volatility及插件mimikatz
qq_73722777的博客
09-14 5484
vol.py --plugins=[plugins文件夹路径] -f [镜像文件路径] --profile=[操作系统] mimikatz。下载解压后拖入kali内,文件夹改名为volatility,终端cd进入文件夹。下载后拖入volatility/volatility/plugins/解压后拖入kali,使用cd进入文件夹内。下载mimikatz.py文件。2.安装volatility。下载文件distorm3。3.安装mimikatz。4.在终端中使用插件。kali安装pip2。
新版Kali Linux安装volatility工具
最新发布
baynk的博客
07-19 427
了,其他的命令和之前差不多,也就是说拿到一个镜像,得先用插件去试下它是哪个类型的操作系统。引入了很多架构上的变化和改进,目的是使其更具现代性、更强大且更易于扩展。这里有点慢,可以换种方式下载好了以后再上传,好了以后安装就可以。,但是用官网环境用起来还是挺麻烦的,给的方法不好用,很容易报错。里面要创建虚拟环境都可以正常安装使用,也可以下载他的包然后使用。框架的第三代版本,专注于改进和增强内存取证和分析功能。的设计更加模块化,并支持更广泛的操作系统和架构,同时通过。时,命令结构大体相同,有一定的修改。
kali 安装取证工具volatility
SCP000111的博客
07-11 3672
计算机取证 volatility
kali安装内存取证工具volatility
weixin_62024248的博客
04-21 1250
因为kali自带的pip都是3.0版本的。所以需要手动安装基于python2的pip。# 下载 get-pip.py# 安装 pip出现如图代表安装成功。
kali2024上Volatility安装(无报错)
2301_80110280的博客
07-15 4829
接下来就是解决distorm3的问题,如果使用pip2 install distorm3会发现有egg_info报错的问题,查阅之后发现说是没有安装setuptools,查到最后会发现setuptools是python3里面的,然后如果用pip2安装的话,又因为2022版本之后kali官方不支持python2了,使用命令安装这个时就会报错,所以这个途径就不了了之。这样一来输入vol.py就不会再出现报错了,以及之后要是还要下载什么插件之类的,都可以去使用:将其源码包下载之后,放到。
kali安装volatility--内存取证利器
qq_57861415的博客
01-29 1869
最近看到有内存取证的题目,找到个利器。
kali 安装volatility_Volatility取证使用笔记
weixin_39926739的博客
11-23 4433
最近简单的了解了一下Volatility这个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等等等等~~~0x01 安装安装分为三步走:下载安装必要的python依赖文件安装本体下载你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以...
Kaili下安装volatility
shao65308的专栏
09-12 487
下载:git clone https://kgithub.com/volatilityfoundation/volatility.git。
kali volatility3内存取证
01-24
### Volatility3在Kali Linux上的安装 为了确保Volatility3能够在Kali Linux环境中顺利工作,需先完成其安装过程。建议将`volatility-master.zip`文件解压缩至指定路径如`/home/user/volatility-master`,这里假设用户主目录名为`user`而非`root`以遵循安全实践[^1]。 对于依赖项的处理,应按照官方文档指导来操作而不是手动复制文件到Python库路径下。通常情况下,在现代Linux发行版中推荐通过pip工具来进行包管理: ```bash pip install volatility3 ``` 此命令会自动下载并配置好所有必要的组件以便后续使用[^5]。 ### 使用Volatility3进行内存取证分析 当准备就绪之后,可以通过如下方式加载待分析的目标镜像文件(例如命名为`memory.raw`),并通过特定插件获取所需数据: #### 查看可用概要信息 执行下面这条语句可以帮助确认所选样本是否被正确识别以及适用哪个操作系统版本作为剖析依据: ```bash python3 vol.py -f /path/to/memory.raw windows.info ``` 这一步骤至关重要因为它决定了后面一系列操作能否成功开展。 #### 获取进程列表及其命令行参数 一旦确定了合适的Profile,则可进一步探索系统内活跃着哪些程序实例连同启动它们时传递给这些应用的具体选项: ```bash python3 vol.py -f /path/to/memory.raw pslist python3 vol.py -f /path/to/memory.raw cmdline ``` 上述两条指令分别用于列举出当前存在的全部进程,并展示选定进程中实际传入的命令行字符串[^4]。 #### 探索已加载模块详情 如果想要了解某个具体PID对应的应用究竟映射了多少动态链接库(DLL),那么借助于`dlllist`功能将会非常方便;而对于整个系统的视角而言,利用`linux_proc_maps`(针对Linux平台)则能提供更全面视图关于各个地址空间分布状况的信息: ```bash python3 vol.py -f /path/to/memory.raw dlllist --pid=<target_pid> python3 vol.py -f /path/to/memory.raw linux_proc_maps ``` 请注意替换其中占位符部分为真实有效的数值或标识符[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值