下載安裝
官網(wǎng)下載即可:
https://www.volatilityfoundation.org/releases網(wǎng)址
Windows環(huán)境下下載軟件包
直接輸入CMD打開使用(簡單方便)
真題操練
只需將鏡像拖入
判斷未知內(nèi)存鏡像系統(tǒng)版本信息
volatility -f 文件路徑 imageinfo
kali下解析
命令:pslist/pstree/psscan :非常有用的插件,列出轉(zhuǎn)儲時運行的進程的詳細信息;顯示過程ID,該父進程ID(PPID),線程的數(shù)目,把手的數(shù)目,日期時間時,過程開始和退出
pslist無法顯示隱藏/終止進程
導出
volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt
任何數(shù)據(jù)都可以導出,然后進行使用
比如:導出“查看服務(svcscan)”的數(shù)據(jù)
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt
Kali下
命令:hivelist:查看緩存在內(nèi)存的注冊表
命令:hashdump:獲取內(nèi)存中的系統(tǒng)密碼
volatility -f bb.raw --profile=Win7SP1x86_23418hashdump
命令:getsids:查看SID
volatility -f bb.raw --profile=Win7SP1x86_23418 getsids
計算機名稱
導出注冊表
發(fā)現(xiàn)SYSTEM是注冊表信息,用WRR打開
注冊表內(nèi)USB
借鑒//www.doc88.com/p-9107655008710.html?r=1
打印機在注冊表中的位置
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents 默認瀏覽器 注冊表
命令:查看瀏覽器歷史記錄
volatility -f D:電子取證備賽memdump.mem--profile=Win7SP1x86_23418
Kali下
命令:查看服務 svcscan
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418svcscan
建議導出查看,數(shù)據(jù)量大
命令:查看運行程序相關(guān)的記錄,比如最后一次更新時間,運行過的次數(shù)等 userassist
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 userassist
命令:查看網(wǎng)絡連接 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 netscan
命令:查看文件 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 filescan
建議導出查看,數(shù)據(jù)量大
命令:獲取SAM表中的用戶
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 printkey
編輯:黃飛
-
內(nèi)存
+關(guān)注
關(guān)注
8文章
2902瀏覽量
73536 -
編程
+關(guān)注
關(guān)注
88文章
3521瀏覽量
93266
原文標題:內(nèi)存取證之Volatility從0到1
文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論