最近简单的了解了一下Volatility这个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等等等等~~~


0x01 安装


安装分为三步走:


  1. 下载
    2. 

  2. 安装必要的python依赖文件
    3. 

  3. 安装本体


下载


你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以通过github去获取源码:


git clone https://github.com/volatilityfoundation/volatility.git


依赖


如果只是用Volatility本体,就不要安装这些依赖,但是如果想使用某些插件,就需要对这些以依赖进行安装·


Distorm3:牛逼的反编译库


pip install distorm3


Yara:恶意软件分类工具


pip install yara


PyCrypto:加密工具集


pip install pycrypto


PIL:图片处理库


pip install pil


OpenPyxl:读写excel文件


pip install openpyxl


ujson:JSON解析


pip install ujson


安装


如果你用的是独立的win、linux、mac执行文件,那就不必安装了。只要用python去执行就好。


若是下载了压缩文件,那你可以选择直接运行python主程序,也可以选择使用python setup.py install的方式将Volatility以一个库的形式安装在系统的特定位置上,从而以后我们可以将Volatility作为一个库在其他脚本中去引用namespace。


0x02 使用


kali自带有volatility,于是我直接在kali山进行操作


我这里也直接用我这两天看的一道CTF的题目作为实例来操作吧




Imageinfo


这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等


volatility -f wuliao.data imageinfo


通过Suggested Profile(s) 我们可以知道这个镜像文件的版本最有可能事Win7SP1x64




可以使用--info参数来查看Volatility已经添加的profile和插件信息




Kdbgscan


这个插件可以扫描文件的profile的值,通常扫描结果有多个,只有一个结果是完全正确的,kdbgscan和imageinfo都只适用于windows的镜像




Pslist


volatility -f wuliao.data --profile=Win7SPx64 pslist


pslist可以直接列出运行的进程,如果进程已经结束,会在Exit列显示日期和时间,表明进程已经结束




Hivelist


列举缓存在内存中的注册表


volatility -f wuliao.data --profile=Win7SP1x64 hivelist




filescan


扫描内存中的文件


volatility -f wuliao.data --profile=Win7SP1x64 filescan




filescan 也可以结合grep命令来进行筛选,比如


volatility -f wuliao.data --profile=Win7SP1x64 filescan |grep "doc\|docx\|rtf"




也可以


volatility -f wuliao.data --profile=Win7SP1x64 filescan |grep "flag"




Dumpfiles


导出内存中缓存的文件


我直接导出上面搜索flag得到的flag.jpeg文件


volatility -f wuliao.data --profile=Win7SP1x64 dumpfiles -Q 0x000000007f142f20 -D ./ -u




Cmdscan/cmdline


提取内存中保留的cmd命令使用情况


volatility -f wuliao.data --profile=Win7SP1x64 cmdline




查看截图


volatility -f wuliao.data --profile=Win7SP1x64 screenshot --dump-dir=./




查看系统用户名


volatility -f wuliao.data --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"


查看网络连接


volatility -f wuliao.data --profile=Win7SP1x64 netscan




我真是个啥都不会,啥都要学的five啊


												


											
Volatility取证使用笔记的更多相关文章
	

    
								
  1. windows下的volatility取证分析与讲解
		
    volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundat ...
    
		
    2. 
						
  2. volatility的使用
		
    volatility取证的使用----windows内存 简介 kali下默认安装 可以对windows,linux,mac,android的内存进行分析 内存文件的准备 Win2003SP2x86下 ...
    
		
    3. 
						
  3. volatility内存取证
		
    最近参加了45届世界技能大赛的山东选拔赛,样题里有一个题如下: 师傅好不容易拿到了压缩包的密码,刚准备输入,电脑蓝屏 了... = =",题意简单明了,易于理解.一看就是内存取证的题并且已经 ...
    
		
    4. 
						
  4. 一道ctf-内存取证volatility的学习使用
		
    环境:kali 0x00 volatility官方文档 https://github.com/volatilityfoundation/volatility 在分析之前,需要先判断当前的镜像信息,分析 ...
    
		
    5. 
						
  5. 内存取证工具-volatility、foremost
		
    内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...
    
		
    6. 
						
  6. volatility内存取证学习
		
    工具下载: Linux环境 apt-get install volatility 各种依赖的安装,(视情况安装) #Distorm3:牛逼的反编译库 pip install distorm3 ​ #Y ...
    
		
    7. 
						
  7. 利用Volatility对Linux内存取证分析-常用命令翻译
		
    命令翻译 linux_apihooks - 检查用户名apihooks linux_arp - 打印ARP表 linux_aslr_shift - 自动检测Linux aslr改变 linux_ban ...
    
		
    8. 
						
  8. Wireshark学习笔记(二)取证分析案例详解
		
    @ 目录 练习一:分析用户FTP操作 练习二:邮件读取 练习三:有人在摸鱼? 练习一:分析用户FTP操作 已知抓包文件中包含了用户登录FTP服务器并进行交互的一个过程,你能否通过wireshark分析 ...
    
		
    9. 
						
  9. The Art of Memory Forensics-Windows取证(Virut样本取证)
		
    1.前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 指定js文件不使用 ESLint 语法检查
			
    整个文件范围内禁止规则出现警告 将/* eslint-disable */放置于文件最顶部 /* eslint-disable */ alert('foo'); 在文件中临时禁止规则出现警告 将需要忽 ...
    
			
    2. 
						
  2. [2019HDU多校第三场][HDU 6603][A. Azshara's deep sea]
			
    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=6603 题目大意:给出一个凸包,凸包内有若干个圆,要求画尽可能多的对角线使得他们两两不在凸包内相交且不与 ...
    
			
    3. 
						
  3. java开发时,eclipse设置编码
			
    修改eclipse默认工作空间编码方式,General——Workspace——Text file encoding 修改工程编码方式,右击工程——Properties——Resource——Text ...
    
			
    4. 
						
  4. 18、属性赋值-@Value赋值
			
    18.属性赋值-@Value赋值 18.1 使用@Value赋值三种方式 基本数值 可以写SPEL 表达式,例如: #{} 可以写${} ,取出配置文件中的值(在运行环境变量里面的值) package ...
    
			
    5. 
						
  5. About IndexDB
			
    http://blog.csdn.net/bd_zengxinxin/article/details/7758317 HTML5 - Storage 客户端存储 http://html5demos.t ...
    
			
    6. 
						
  6. AbstractWrapper ,EntityWrapper, QueryWrapper, UpdateWrappe
			
    https://blog.csdn.net/qq_42112846/article/details/88086035 https://blog.csdn.net/m0_37034294/article ...
    
			
    7. 
						
  7. Visual Studio Code:以十六进制格式显示文件内容
			
    造冰箱的大熊猫@cnblogs 2019/9/4 发现Visual Studio Code很好用,无论是作为源代码编辑器还是文本编辑器在Win平台下用的都很不错.但有时候需要以十六进制格式查看数据文件 ...
    
			
    8. 
						
  8. 用MFC构造DIRECTX应用框架
			
    一. MFC类库与DirectXSDK Microsoft DirectX SDK是开发基于 Windows平台游戏的一个软件开发工具,其主要功能主要包括在五个组件中: DirectDraw. Dir ...
    
			
    9. 
						
  9. 一步一步学习FastJson1.2.47远程命令执行漏洞
			
    本文首发于先知:https://xz.aliyun.com/t/6914 漏洞分析 FastJson1.2.24 RCE 在分析1.2.47的RCE之前先对FastJson1.2.24版本中的RCE进 ...
    
			
    10. 
						
  10. ?  这是个很好的问题。Go 当前的 GC 显然做了一些额外的工作,但它也跟其他的工作并行执行,所以在具有备用 CPU 的系统上,Go 正在作出合理的选择。请看 https://golang.org/issue/17969  结束语(Closing notes) 通过研究 Go 垃圾收集器,我能够理解 Go GC 当前结构的背景以及它如何克服它的弱点。Go发展得非常快。如果你对 Go感兴趣,最好继
			
    ? 这是个很好的问题.Go 当前的 GC 显然做了一些额外的工作,但它也跟其他的工作并行执行,所以在具有备用 CPU 的系统上,Go 正在作出合理的选择.请看 https://golang.org/i ...
    
			
    11.