浅析Volatility内存取证
- 内存取证
- Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统
- Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态
- 内存取证主要任务
- 抓取文件metadate
- 查看命令历史
- 分析日志文件
- 哈希摘要
- 转存内存信息
Volatility使用
- 使用imageinfo来猜测文件的profile值
volatility -f <文件名> imageinfo
- 如果猜测的值比较多例如Win7SP1x86_233418 Win7SP0x86 Win7SP1x86_24000 Win7SP1x86要验证系统正确可以使用命令
volatility -f mem.raw --profile=Win7SP0x86 volshell
使用pslist去列举 系统进程 这里可以使用pstree psscan pslist
volatility -f <文件名> --profile = Win7SP0x86 pslist
查看cmd历史命令
volatility cmdscan -f <文件名> --profile=Win7SP0x86
查看IE浏览器历史信息
volatility iehistory -f <文件名> --profile=Win7SP0x86
查看屏幕快照(截图)并将下载
volatility -f <文件名> --profile=Win7SP0x86 screenshot --dump-dir=./
下面展示volatility常用插件
- amcache
- 查看amcache应用程序痕迹信息
- amcache是资源管理缓存
- apihooks
- 检测内核及进程的内存空间中的API hook
- atoms
- 列出会话以及窗口站atom表
- Atom 表 是存储字符串和对应标识符的系统定义表
- atomscan
- Atom表的池扫描
- bioskbd
- 从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码)
- cachedump
- 获取内存中缓存的域账号的密码哈希
- callbacks
- 打印全系统通知历程
- clipboard
- 提取windows剪贴板中的内容
- cmdline
- 显示进程命令行参数
- cmdscan
- 提取执行的命令行历史记录
- connections
- 打印系统打开的网络连接
- connscan
- 打开TCP连接信息
- consoles
- 提取执行的命令行历史记录
- dlldump
- 从进程地址空间转储动态链接库
- dlllist
- 打印每个进程加载的动态链接库列表
- dumpcerts
- 提取RAS私钥以及SSL公钥
- dumpfiles
- 提取内存中映射或缓存的文件
- editbox
- 查看edit编辑控件信息
- envars
- 显示进程的环境变量
- evtlogs
- 提取windows事件日志
- filescan
- 提取文件对象池信息
- getsids
- 打印每个进程的SID信息
- handles
- 打印每个进程打开的句柄列表
- hashdump
- 转储内存中的windows账户密码哈希
- iehistory
- 重建ie缓存以及访问的历史记录
- malfind
- 搜索进程中隐藏或注入的DLL/代码
浅析Volatility内存取证相关推荐
- volatility内存取证学习,美亚杯比赛版,密码+注册表
内存镜像主要是 windows,linux可能考 工具主要是volatility 有很多工具软件 拿到内存后,格式很多,mem,emp后缀名不一样,不影响解析,第一步: 要知道内存镜像的架构,知道内存 ...
- 内存取证——volatility命令
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
- 内存取证常见例题思路方法-volatility (没有最全 只有更全)
目录 1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交; 2.获取当前系统的主机名,将主机名作为Flag值提交; 3.获取当前系统浏览器搜索过的关键词,作 ...
- 内存取证神器Volatility常用指令大全
内存取证神器Volatility常用指令大全 具体指令开头部分根据Volatility版本做修改即可 查找文件 volatility -f 19.mem --profile=Win7SP1x86_23 ...
- 利用Volatility进行Windows内存取证分析(一):初体验
简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆 ...
- MISC之内存取证_Kali环境下使用volatility
文章目录 前言 一.安装volatility及相关依赖文件 二.例题 1.memory.raw 2.Cookie.raw 3.forensics.raw 4.disk.img 4.memory_5 前 ...
- Volatility 内存数字取证方法
计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是那种取证方式,都应尽量避免破环犯罪现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作,这里将研究内 ...
- linux 内存取证_内存取证工具-volatility、foremost
内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...
- 内存取证工具——volatility 常用命令
点击可跳转 前言 正文 猜测镜像系统 调出shell窗口 列举进程 将内存中的某个进程保存出来 列举缓存在内存的注册表 列出SAM表中的用户 获取最后登录系统的用户 获取内存中正运行的程序 列举时间线 ...
最新文章
- js实时获取系统当前时间
- 【Java1】jdk安装/idea安装,关键字/数据类型/标识符,运算符,/包/类,运算符,if/switch,for/while
- asp.net 2.0 设置表格高度为100%.
- C#使用Mutex实例详解
- 五月份哪里有有计算机考试,2021年5月全国计算机等级考试报名时间
- php 向服务器发放请求,PHP客户端向服务器端发送请求并向远程服务器发送服务器端请求...
- 两个可用于浏览器兼容性测试的Firefox插件
- mongodb创建图书管理_基于vue 和 node Mongodb 的 图书管理系统
- Maven的打包命令
- EF+MYSQL 闪退
- 2021年下半年软考信息安全工程师上午选择题及解析
- 网易秋招编程题——优雅的点
- 安卓开发 虚拟机启动失败
- 机顶盒ttl无法输入_中兴机顶盒B8601.1T TTL后跑码无法输入指令
- 今日恐慌与贪婪指数为18 恐慌程度有所缓解
- Java中double转String
- 【秋招纪实录】一篇特别正经的【基恩士】求职经验分享
- win10打开蓝牙_win10蓝牙开关不见了
- Nginx页面报错404及解决办法
- AS608光学指纹模组编程和应用详解
热门文章
- spring JDBCTemplate实现批量插入及返回id
- JDBC,JDBC连接池和JNDI
- Linux-查看进程
- kermit使用总结
- 给密码加盐是什么东西?
- MethodHandle.invoke and MethodHandle.invokeExact are only supported starting with Android O
- JavaScript高级编程设计(第三版)——第四章:变量作用域和内存问题
- linux DMA机制实现(e1000资源分配)
- addEventlistener()方法,事件监听
- UDAL - DBProxy internal error问题解决