内存取证工具——volatility 常用命令

最新推荐文章于 2025-10-08 10:46:57 发布
原创 最新推荐文章于 2025-10-08 10:46:57 发布 · 1.4w 阅读 · 101 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#操作系统

本文详细介绍使用Volatility进行内存取证的方法,包括系统猜测、shell窗口调用、进程与注册表列举、密码哈希获取等核心技能,是红帽杯比赛及日常取证工作的重要参考资料。

点击可跳转

前言

红帽杯里也做到过内存取证,取证的课又重温了一遍,于是就准备把常用命令记下来。

正文

猜测镜像系统

volatility -f Memory.vmem imageinfo

在这里插入图片描述

在支持的系统里可以看到
在这里插入图片描述

知道系统后,之后的命令就都加上这一段即可
–profile=Win81U1x86

调出shell窗口

这算一个奇淫技巧
volatility -f Memory.vmem --profile=Win81U1x86 volshell
可以测试你猜测的系统是否正确,正确的话就能getshell
在这里插入图片描述

shell的命令:

dt(“内核关键数据结构名称”)

如:

dt("_PEB")
在这里插入图片描述

列举进程

volatility -f mem.vmem --profile=WinXPSP2x86 pslist
在这里插入图片描述

可以看到PID、PPID、启动的时间。

另一个相似的命令是pstree,与pslist差不多,但可以识别子进程以及父进程

在这里插入图片描述

psscan命令可以显示出被隐藏的进程,比如一些隐藏自己的病毒
在这里插入图片描述

最后还有dlllist,可以看到每个进程(程序)
运行所需要的所有动态链接库

<

最低0.47元/天 解锁文章
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
volatility常用的命令
菜菜的博客
09-30 2805
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
内存取证神器:Volatility 2.6.1 从入门到实战完全指南
最新发布
haishiqiguai的博客,欢迎你的到来,希望你能在此找到汝心中所求
10-08 1461
本篇关于内存取证工具Volatility 2.6.1的完整使用指南,涵盖了从安装配置、Profile理解到常用命令实战的全面内容
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3909
内存取证神器Volatility常用指令大全
内存取证volatility常用命令
shshshsh_的博客
11-09 1135
volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址。volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址。这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。
内存取证-volatility工具的使用 (史上更全教程,更全命令
热门推荐
路baby的博客
10-20 11万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 5379
南华城里月如昼,十二玉楼非吾乡
取证导论 & Volatility入门使用——ctf公开课笔记记录
m0_75196987的博客
04-16 1155
取证导论 & Volatility入门使用。——来自 长空网络实验室。不建议广泛传播。
内存取证入门必看:Volatility基础命令与查找进程痕迹的实战指南
# 内存取证的艺术:从 Volatility 到高级威胁狩猎的实战演进 在一次红队攻防演练中,某企业的服务器日志干干净净,EDR 零告警,防火墙流量也未见异常。但安全分析师在内存镜像中发现了一个“不存在”的进程 —— 它...
Volatility Linux计算机取证工具资源与安装指南
取证工具”则突出了Volatility的功能定位——一个专业的技术支撑平台。“kali”代表Kali Linux,这是由Offensive Security开发的、专为渗透测试和安全审计设计的Linux发行版,内置大量安全工具,而Volatility正是...
内存取证volatility常用命令
qq_63449412的博客
04-09 663
查看当前内存镜像中的用户。:查看网络连接获取当前系统。:查看命令行操作,显示。:列出注册表配置单元。:查看用户名密码信息。
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
内存取证工具:MAGNET RAM Capture(v1.20)
12-01
内存取证工具-MAGNET RAM Capture,是由于取证公司MAGNET开发一款免费制作内存镜像的小工具,体积小、还可以对内存镜像设置分段。
内存取证解题过程--Volatility常用命令
weixin_43891422的博客
08-07 6756
内存取证 所需软件: Linux平台下的Volatility,Windows平台下的010 Editor和Stegsolve 安装方法: Volatility在Ubuntu下安装命令:sudo apt install volatility Stegsolve在Github地址:https://github.com/Giotino/stegsolve 题目: https://share.weiyun.com/Y3B9kf0W 解题过程: 查看内存镜像信息: volatility -f zy.raw imag
内存取证volatility工具命令详解
渗透测试研究中心
12-02 3283
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
Volatility使用教程
weixin_46729014的博客
12-05 1358
​​ 在这得到文件可能所属的系统信息⚠️如果最后提交的是时间,系统默认是格林尼治时间,要修改为东八区时间–>格林尼治时间+8小时。
volatility 基本用法
xuqi7
10-22 1万+
volatility---基本用法 Keyword: forensic 取证 官网: https://www.volatilityfoundation.org/ github地址: https://github.com/volatilityfoundation/volatility wiki: https://github.com/volatilityfoundation/volatility/wiki
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值