内存取证工具 -- Volatility工具使用

原创 已于 2023-09-14 22:29:22 修改
· 3.7k 阅读 · 21 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #笔记

于 2023-08-03 19:08:43 首次发布

1.1 Volatility介绍

Volatility是一款使用python语言开发的且开源的内存取证工具,支持Windows、Linux、Android等多类型的操作系统的内存取证方式。

1.2 Volatility安装

官方公布两种版本:Volatility与Volatility3。Volatility是基于python2环境,Volatility3是基于python3环境。

1.2.1 下载地址

目前这两种版本均可下载:

  1. Github 点击下载
  2. 官网下载

1.2.2 安装步骤

1)Volatility - python2 安装:
  1. 克隆Volatility到本地
[路径:/root]git clone https://github.com/volatilityfoundation/volatility
  1. 安装pip2
[路径:/root]wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
[路径:/root]python2 get-pip.py
  1. python2安装pycrypto库
[路径:/root]pip2 install pycrypto
//若安装失败,可以在切换国内源下载
[路径:/root]pip2 install pycrypto -i https://pypi.tuna.tsinghua.edu.cn/simple
  1. 克隆distorm3到本地
[路径:/root]git clone https://github.com/vext01/distorm3
  1. 编译
[路径:/root]cd volatility
[路径:/root/volatility]python2 setup.py install
[路径:/root]cd distorm3
[路径:/root/distorm3]python2 setup.py install
2)Volatility3 - python3 安装:

1.克隆到本地,并编译

[路径:/root]git clone https://github.com/volatilityfoundation/volatility3.git
[路径:/root]python3 setup.py install

1.3 Volatility 基本用法

1.3.1 Volatility python2 版本
  1. 查看系统版本
volatility -f 文件 imageinfo
  1. 查看ie浏览器历史信息
volatility -f 文件 --profile=Win7SP1x64 iehistory
  1. 查看系统进程
# 列出进程 不能检测到隐藏或者解链的进程
volatility -f 文件 --profile=Win7SP1x64 pslist
# 列出进程 能检测到隐藏或者解链的进程
volatility -f 文件 --profile=Win7SP1x64 psscan
# 列出进程树
volatility -f 文件 --profile=Win7SP1x64 pstree
  1. 查看服务
volatility -f 文件 --profile=Win7SP1x64 svcscan
  1. 查看网络连接
volatility -f 文件 --profile=Win7SP1x64 netscan
或
volatility -f 文件 --profile=Win7SP1x64 connscan
或
volatility -f 文件 --profile=Win7SP1x64 connections
  1. 查看历史cmd命令
volatility -f 文件 --profile=Win7SP1x64 cmdscan
  1. 查看进程命令行参数
volatility -f 文件 --profile=Win7SP1x64 cmdline
  1. 查找所有文件列表
volatility -f 文件 --profile=Win7SP1x64 filescan
# 相关信息匹配查询
volatility -f 文件 --profile=Win7SP1x64  filescan | grep ".txt\|.doc\|.zip\|.png"
# CTF 解题比较有用
volatility -f 文件 --profile=Win7SP1x64 filescan | grep flag
  1. 查看文件内容
#-D 意思一样 输出目录
# 指定偏移量下载文件
volatility -f 文件 --profile=Win7SP1x64 dumpfiles -Q 0x000000001e85f430 -D ./
  1. 查看曾经编辑过的notepad文本的信息
volatility -f 文件 --profile=Win7SP1x64 editbox
  1. 提取进程
#指定进程号下载文件
volatility -f 文件 --profile=Win7SP1x64 memdump -p 1234 --dump-dir=./
  1. 列出配置单元或特定键值下的注册表项
volatility -f 文件 --profile=Win7SP1x64 -o 内存地址 printkey
//查看当前内存镜像中的用户
volatility -f 文件 --profile=Win7SP1x64 -o 内存地址 printkey -K "SAM\Domains\Account\Users\Names"
  1. 查看userassist键值包含系统或桌面执行文件的信息
volatility -f 文件 --profile=Win7SP1x64 userassist
  1. 列出内存映像中存在的注册表配置单元
volatility -f 文件 --profile=Win7SP1x64 hivelist

16.扫描Windows内存映像中存在的注册表配置单元

volatility -f 文件 --profile=Win7SP1x64 hivescan
  1. 获取sam账号密码hash值
volatility -f 文件 --profile=Win7SP1x64 hashdump

18.查看环境变量(搭配grep或findstr可快速查看主机名)

vol -f 文件名 --profile=Win7SP1x64 envars
1.3.2 Volatility python3 版本
  1. 查看系统基本信息
volatility -f 文件 windows.info
  1. 查看SID
volatility -f 文件 windows.getsids
  1. 查看系统进程
# 列出进程 不能检测到隐藏或者解链的进程
volatility -f 文件 windows.pslist
# 列出进程 能检测到隐藏或者解链的进程
volatility -f 文件 windows.psscan
# 列出进程树
volatility -f 文件 windows.pstree
  1. 查看服务
volatility -f 文件 windows.svcscan
  1. 查看网络连接
volatility -f 文件 windows.netscan
  1. 查看历史cmd命令
volatility -f 文件 windows.cmdscan
  1. 查看进程命令行参数
volatility -f 文件 windows.cmdline
  1. 查找所有文件列表
volatility -f 文件 windows.filescan
# 相关信息匹配查询
volatility -f 文件 windows.filescan | grep ".txt\|.doc\|.zip\|.png"
# CTF 解题比较有用
volatility -f 文件 windows.filescan | grep flag
  1. 列出进程打开的句柄
volatility -f 文件 windows.handles
  1. 列出配置单元或特定键值下的注册表项
volatility -f 文件 windows.registry.printkey
  1. 查看userassist键值包含系统或桌面执行文件的信息
volatility -f 文件 windows.registry.userassist
  1. 列出内存映像中存在的注册表配置单元
volatility -f 文件 windows.registry.hivelist
  1. 查看进程环境变量
volatility -f 文件 windows.envars
  1. 查看动态库列表
volatility -f 文件 windows.dlllist
  1. 列出转存文件
volatility -f 文件 windows.dumpfiles
  1. 获取sam账号密码hash值
volatility -f 文件 windows.hashdump
  1. 查看lsa密码
volatility -f 文件 windows.lsadump

请添加图片描述

内存取证-volatility工具使用 (史上更全教程,更全命令)_volatility内存取证(3)
2401_85013565的博客
05-15 2098
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
内存取证5-volatility
chinazgzx的博客
04-03 1667
内存取证是一种在计算机系统运行时获取内存数据并进行分析的技术,能获取到很多磁盘中没有的动态信息,对于调查系统异常、检测恶意软件等非常关键。Volatility 是一款开源的内存取证工具,支持 Windows、Linux、Mac OS X、Android 等系统。它通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态,可用于安全事件响应、恶意软件分析等场景。
内存取证volatility最简安装方法
shshshsh_的博客
11-10 2945
打开解压后的文件,打不开可以在windows下解压之后,在放到kali里面去,当然也可以给他增加权限:chmod +rxw volatility_2.6_lin64_standalone。最后在这里说一下哪个名字可以随便改,但是建议改成和我一样的方便自己和他人使用工具,在这里就三步你就能使用他,还不来试试。给你们看一下,名字随便改,不影响使用。进入目录修改文件名称。
Volatility 2.6 Windows 64位系统独立版下载
gitblog_09759的博客
10-12 881
Volatility 2.6 Windows 64位系统独立版下载 Volatility2.6Windows64位系统独立版下载 本仓库提供了一个内存取证分析工具——Volatility的Windows 64位系统独立版资源文件下载。该工具内存取证领域广泛应用,能够帮助安全研究人员和取证专家分析和提取内存中的数据 ...
Volatility工具学习
最新发布
qq_38933606的博客
04-22 415
其中较大的差别在于Volatility3抛弃了构建起来较为复杂的 profile,转而使用符号表。而由于Linux 版本很多很杂,并没有提供非常全面的符号表,想要使用的话必须使用Volatility3在用法上与Volatility差异不大,只是支持的参数列表发生了较大变化,可以使用。当然,如果系统信息确定的情况下,也可以直接使用内置的配置文件。库未找到等等,解决方案都可以在网上找到,这里就不一一赘述了。的配置文件无法分析该系统的内存快照,需要手动构建你自己的。正常情况下,完成以上步骤后,就可以使用
内存取证-volatility工具使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 10万+
内存取证-volatility工具使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Volatility工具使用详解&&做题
weixin_48876267的博客
09-20 2102
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
内存取证-volatility工具使用
baynk的博客
05-11 2万+
0x00 volatility介绍 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。 目前已经有一段时
ctf -- 内存取证分析工具volatility下载与安装+简单的使用
半岛铁盒的博客
06-16 2万+
你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以git clone下来: git clone https://github.com/volatilityfoundation/volatility.git 上面那个是本体的安装,需要安装一些插件 python setup.py build python setup.py install 安装setup-tools wget https://pypi.python.org/packages/45/29/8814bf414
内存取证-volatility工具使用 (史上更全教程,更全命令)_volatility内存取证
2401_85013604的博客
05-15 1184
Win2016x64_14393 - Windows Server 2016 x64 的配置文件 (10.0.14393.0 / 2016-07-16)Win7SP1x64_23418 - Windows 7 SP1 x64 的配置文件 (6.1.7601.23418 / 2016-04-09)Win10x64_14393 - Windows 10 x64 的配置文件 (10.0.14393.0 / 2016-07-16)
内存取证 - volatility2 演示案例
12-13
内存取证的过程中,使用Volatility2有以下几个关键步骤: 1. 获取内存镜像:首先需要获得目标计算机的物理内存或虚拟机内存的副本,这通常通过特定工具如dd、LiME等完成。 2. 分析内存镜像:使用Volatility2加载...
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证2-volatility
chinazgzx的博客
03-10 1761
内存取证是一种在计算机系统运行时获取内存数据并进行分析的技术,能获取到很多磁盘中没有的动态信息,对于调查系统异常、检测恶意软件等非常关键。Volatility 是一款开源的内存取证工具,支持 Windows、Linux、Mac OS X、Android 等系统。它通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态,可用于安全事件响应、恶意软件分析等场景。
取证工具volatility下载使用
ndjnddjxn的博客
06-12 2801
Volatility可以还原系统崩溃或重启前的运行状态,包括进程、网络连接、文件操作等,为取证人员提供重要的线索。:Volatility可以分析被恶意软件感染的系统内存,帮助取证人员识别恶意软件的行为、进程和可能的隐藏技术。:通过内存取证Volatility可能能够获取到用户输入到系统中的密码信息,这有助于在取证过程中破解密码。你运行命令的时候可能是你正在尝试使用Python 2的语法来运行一个期望Python 3语法的。的内存镜像文件进行分析,并导出进程ID为1234的进程的内存内容到。
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 2万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
Volatility 工具分析
single7_的博客
01-26 1352
0x01 Volatility 介绍 volatility 是一款内存取证和分析工具,可以对 Procdump 等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux,Kali 下面默认已经安装。 0x02 安装过程 利用Volatility进行Windows内存取证分析(一):初体验 0x03 概念 0x03a Vtypes Vtypes 是 Volatility 框架中数据结构定义以及解析的语言,大部分操作系统底层都是使用 C 语言编写的,其中大量使用数据
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 1万+
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
内存取证工具:DumpIt与Volatility使用教程
文档“内存取证工具Volatility_Framework.doc”可能是对Volatility框架使用方法的详细说明。这个文档可能包含了Volatility框架的安装指南、各个命令的解释、常见问题的解答、案例分析以及最佳实践等信息。这个文档...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一条小龍龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值