內(nèi)存取證之Volatility從0到1編程設計

下載安裝

官網(wǎng)下載即可：

https://www.volatilityfoundation.org/releases網(wǎng)址

Windows環(huán)境下下載軟件包

直接輸入CMD打開使用（簡單方便）

真題操練

只需將鏡像拖入

判斷未知內(nèi)存鏡像系統(tǒng)版本信息

volatility -f 文件路徑 imageinfo

kali下解析

命令：pslist/pstree/psscan :非常有用的插件，列出轉(zhuǎn)儲時運行的進程的詳細信息；顯示過程ID，該父進程ID（PPID），線程的數(shù)目，把手的數(shù)目，日期時間時，過程開始和退出

pslist無法顯示隱藏/終止進程

導出

volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

任何數(shù)據(jù)都可以導出，然后進行使用

比如：導出“查看服務（svcscan）”的數(shù)據(jù)

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

Kali下

命令：hivelist：查看緩存在內(nèi)存的注冊表

命令：hashdump:獲取內(nèi)存中的系統(tǒng)密碼

volatility -f bb.raw --profile=Win7SP1x86_23418hashdump

命令：getsids：查看SID

volatility -f bb.raw --profile=Win7SP1x86_23418 getsids

計算機名稱

導出注冊表

發(fā)現(xiàn)SYSTEM是注冊表信息，用WRR打開

注冊表內(nèi)USB

借鑒//www.doc88.com/p-9107655008710.html?r=1

打印機在注冊表中的位置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents 默認瀏覽器 注冊表

命令：查看瀏覽器歷史記錄

volatility -f D:電子取證備賽memdump.mem--profile=Win7SP1x86_23418

Kali下

命令：查看服務 svcscan

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418svcscan

建議導出查看，數(shù)據(jù)量大

命令：查看運行程序相關(guān)的記錄，比如最后一次更新時間，運行過的次數(shù)等 userassist

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 userassist

命令：查看網(wǎng)絡連接 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 netscan

命令：查看文件 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 filescan

建議導出查看，數(shù)據(jù)量大

命令：獲取SAM表中的用戶

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 printkey

編輯：黃飛