命令翻译

linux_apihooks             - 检查用户名apihooks

linux_arp                  - 打印ARP表

linux_aslr_shift           - 自动检测Linux aslr改变

linux_banner               - 打印Linux Banner信息

linux_bash                 - 从bash进程内存中恢复bash历史记录

linux_bash_env             - 恢复一个进程的动态环境变量

linux_bash_hash            - 从bash进程内存中恢复bash哈希表

linux_check_afinfo         - 验证网络协议的操作函数指针

linux_check_creds          - 检查是否有任何进程正在共享凭证结构

linux_check_evt_arm        - 检查异常向量表以查找系统调用表钩子

linux_check_fop            - 检查rootkit修改的文件操作结构

linux_check_idt            - 检查IDT是否被更改

linux_check_inline_kernel  - 检查内联内核挂钩

linux_check_modules        - 将模块列表与sysfs信息进行比较

linux_check_syscall        - 检查系统调用表是否已被更改

linux_check_tty            - 检查tty的钩子

linux_cpuinfo              - 打印有关每个活动处理器的信息

linux_dentry_cache         - 从dentry缓存收集文件

linux_dmesg                - 收集dmesg buffer

linux_dump_map             - 将选定的内存映射写入到磁盘

linux_dynamic_env          - 恢复进程的动态环境变量

linux_elfs                 - 在进程映射中找ELF二进制文件

linux_enumerate_files      - 列出文件系统缓存引用的文件

linux_find_file            - 列出并从内存中恢复文件

linux_getcwd               - 列出每个进程的当前工作目录

linux_hidden_modules       - Carves内存寻找隐藏的内核模块

linux_ifconfig             - 收集活动接口

linux_info_regs            - GDB中的“info寄存器”。它打印出所有的输出

linux_iomem                - 提供与/proc/iomem相似的输出

linux_kernel_opened_files  - 列出从内核中打开的文件

linux_keyboard_notifiers   - 解析键盘通知调用链

linux_ldrmodules           - 将proc映射的输出与libdl中的库列表进行比较

linux_library_list         - 将库加载到一个进程中

linux_librarydump          - 将进程内存中的共享库转储到磁盘

linux_list_raw             - 列出应用程序与混杂的套接字

linux_lsmod                - 收集加载内核模块

linux_lsof                 - 列出文件描述符及其路径

linux_malfind              - 查找可疑的过程映射

linux_memmap               - 转储用于linux任务的内存映射

linux_moddump              - 提取加载内核模块

linux_mount                - 收集挂载的fs/devices

linux_mount_cache          - 收集从kmem_cache安装的fs/设备。

linux_netfilter            - 列出Netfilter钩子

linux_netscan              - 刻画网络连接结构

linux_netstat              - 列表打开的套接字

linux_pidhashtable         - 通过PID哈希表枚举进程

linux_pkt_queues           - 将每个进程的数据包队列写入磁盘

linux_plthook              - 扫描ELF二进制文件' PLT hooks

linux_proc_maps            - 收集进程内存映射

linux_proc_maps_rb         - 通过映射红黑树收集linux的进程映射

linux_procdump             - 将进程的可执行映像转储到磁盘

linux_process_hollow       - 检查是否有进程被挖空的迹象

linux_psaux                - 收集进程和完整的命令行和开始时间

linux_psenv                - 收集进程及其静态环境变量

linux_pslist               - 收集活动任务通过task_struct->task list

linux_pslist_cache         - 从kmem_cache中收集计划任务

linux_psscan               - 扫描进程的物理内存

linux_pstree               - 显示进程之间的父/子关系

linux_psxview              - 查找隐藏进程与各种各样的进程列表

linux_recover_filesystem   - 从内存中恢复整个缓存的文件系统

linux_route_cache          - 从内存中恢复路由缓存

linux_sk_buff_cache        - 从sk_buff kmem_cache中恢复数据包

linux_slabinfo             - 在一台正在运行的机器上模拟/proc/slabinfo。

linux_strings              - 将物理偏移量匹配到虚拟地址(可能需要一段时间,非常详细)

linux_threads              - 打印进程的线程

linux_tmpfs                - 从内存中恢复tmpfs文件系统。

linux_truecrypt_passphrase - 恢复缓存Truecrypt口令

linux_vma_cache            - 从vm_area_struct 缓存中收集VMAs

linux_volshell             - 内存映像中的shell

linux_yarascan             - Linux内存映像中的一个shell

命令示例

https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#consoles

通过volatility从内存导出文件

1)导出某个进程的内存数据

# vol.py -f "20180508-092450.raw" --profile=Win7SP1x86 memdump -p 604 -D C:\Malware\20180508\

2)导出某个进程的DLL

# vol.py -f "20180508-092450.raw" --profile=Win7SP1x86 dlldump -p 604 -D C:\Malware\20180508\

利用Volatility对Linux内存取证分析-常用命令翻译的更多相关文章

  1. Linux apache日志分析常用命令汇总

    1.查看当天有多少个IP访问: awk '{print $1}' log_file|sort|uniq|wc –l 2.查看某一个页面被访问的次数: grep "/index.php&quo ...

  2. Linux内存技术分析(上)

    Linux内存技术分析(上) 一.Linux存储器 限于存储介质的存取速率和成本,现代计算机的存储结构呈现为金字塔型.越往塔顶,存取效率越高.但成本也越高,所以容量也就越小.得益于程序访问的局部性原理 ...

  3. Linux内存技术分析(下)

    Linux内存技术分析(下) 五.内存使用场景 out of memory 的时代过去了吗?no,内存再充足也不可任性使用. 1.内存的使用场景 page 管理 slab(kmalloc.内存池) 用 ...

  4. Linux基础 - 系统优化及常用命令

    目录 Linux基础系统优化及常用命令 Linux基础系统优化 网卡配置文件详解 ifup,ifdown命令 ifconfig命令 ifup,ifdown命令 ip命令 用户管理与文件权限篇 创建普通 ...

  5. Linux基础系统优化及常用命令

    # Linux基础系统优化及常用命令 [TOC] ## Linux基础系统优化 Linux的网络功能相当强悍,一时之间我们无法了解所有的网络命令,在配置服务器基础环境时,先了解下网络参数设定命令. - ...

  6. (转载)shell日志分析常用命令

    shell日志分析常用命令总结 时间:2016-03-09 15:55:29来源:网络 导读:shell日志分析的常用命令,用于日志分析的shell脚本,统计日志中百度蜘蛛的抓取量.抓取最多的页面.抓 ...

  7. Linux系统管理和维护常用命令

    Linux系统管理和维护常用命令 ls 命令 功能说明 ls 命令显示指定工作目录下的内容,列出工作目录所包含的文件及子目录. 语法结构: ls [选项] [路径或文件] ls 选项及说明 -a 显示 ...

  8. [转帖]「日常小记」linux中强大且常用命令:find、grep

    「日常小记」linux中强大且常用命令:find.grep https://zhuanlan.zhihu.com/p/74379265 在linux下面工作,有些命令能够大大提高效率.本文就向大家介绍 ...

  9. Linux 文件夹相关常用命令

    Linux 文件夹相关常用命令 查看 ls -la -l 列出详细信息 -a 列出全部,包括.和.. 删除 rm <folder> -rf  -r  就是向下递归,不管有多少级目录,一并删 ...

随机推荐

  1. HDU2665_Kth number

    给一个数组,求区间[l,r]中第k大的数. 今天被各种数据结构虐爆了,自己还是需要学习一下函数式线段树的,这个东西好像还挺常用. 函数式线段树的思想是这样的,对于每个时间状态,我们都建立一颗线段树,查 ...

  2. [洛谷P4340][SHOI2016]随机序列

    题目大意:有$n(n\leqslant10^5)$个数,每两个数之间可以加入$+-\times$三种符号,$q(q\leqslant10^5)$次询问,每次询问修改一个数后,所有表达式可能的值的和 题 ...

  3. 【Learning】积性函数前缀和——洲阁筛(min_25写法)

    问题描述 洲阁筛解决的问题主要是\(n\)范围较大的积性函数前缀和. ​ 已知一积性函数\(f(i)\),求\(\sum_{i=1}^nf(i)\). \(n\leq10^{12}\). 求解方法 如 ...

  4. 【ZOJ3899】State Reversing 解题报告

    [ZOJ3899]State Reversing Description 有\(N\)个不同的怪兽,编号从\(1\) 到\(N\).Yukari有\(M\)个相同的房间,编号为\(1\)到\(M\). ...

  5. Python之旅:数据类型、字符编码、文件处理

    一 引子 1 什么是数据? x=10,10是我们要存储的数据 2 为何数据要分不同的类型 数据是用来表示状态的,不同的状态就应该用不同的类型的数据去表示 3 数据类型 以下每个类型都是有详细介绍链接的 ...

  6. PPTP协议握手流程分析--转载

    一  PPTP概述   PPTP(Point to Point Tunneling Protocol),即点对点隧道协议.该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网 ...

  7. 在ubuntu下安装opencv

    每次学习一个新的东西,最让气恼的也许就是库,软件之类的东西了把.本来以为再ubuntu虚拟机上照着网上的教程一步步做肯定一下子就弄好了,结果发现好多教程都有好多的坑,有些地方他们少一步你也不知道,有些 ...

  8. C++中的空类,编译器默认可以产生哪些成员函数

    C++中的空类,编译器默认可以产生哪些成员函数 C++中创建一个空类:class Empty {};默认会生成4个函数,其函数的原型如下: public: Empty() { ... } Empty( ...

  9. Netlink 介绍(译)

    原文地址:http://people.redhat.com/nhorman/papers/netlink.pdf 译文: 1 介绍 在Linux和Unix的众多发行版中的网络配置功能, 都是编程者事后 ...

  10. Showbo.js弹窗实现(jquery)

    一.搭建环境 下载showBo.js和showBo.css 下载链接:https://pan.baidu.com/s/1iUUlKXFNXCBEvBnds4ECIA  密码:its4 显示效果图: 二 ...