取证工具volatility

​

Volatility是一款开源内存取证框架，能够对导出的内存镜像进行分析，通过获取内核数据结构，使用插件获取内存的详细情况以及系统的运行状态。

特点：
开源：Python编写，易于和基于python的主机防御框架集成。
支持多平台：Windows，Mac，Linux全支持
易于扩展：通过插件来扩展Volatility的分析能力

工具help

      把.raw转储文件从U 盘拷贝到桌面，然后打开终端查看权限，chmod +x 7.raw给予执行读写执行权限，volatility -h //查看帮助命令

分析内存文件

volatility -f 7.raw imageinfo    //文件信息，关注profile，输出转储文件系统相关信息，当我们拿到一个转储文件不知道该系统信息，可以使用这条命令判断，它会输出最可能的系统版本信息给你，这里我不作判断了，我转储文件的系统是Win7SP1x64。volatility -f 7.raw --profile=Win7SP1x64 pslist    //查看列表进程及物理内存位置，图中offset(v)偏移值，十六进制表示所在物理位置; Name表进程程序名;PID(process ID)：PID 是程序被操作 系统加载到内存成为进程后动态分配的资源。每次程序执行的时候操作系统都会重新加载，PID在每次加载的时候都是不同的。PPID(parent process ID):PPID是程序的父进程号。Thds表示线程数。start表示进程运行开始的时间。volatility -f 7.raw --profile=Win7SP1x64 memdump -p 364 -D mem/ //dump进行内存到我当前系统目录文件夹，这里的目录文件夹要事先创建，不然会报错，-p 指定PID; -D指定目录文件夹。

hexeditor 364.dmp //查看dump文件内容

strings 364.dmp //查看dmp文件字符
strings 364.dmp | grep password //提取字符串grep password

volatility -f 7.raw --profile=Win7SP1x64 pstree //可以查看父子进程

volatility -f 7.raw --profile=Win7SP1x64 hivelist //查计算机蜂巢注册表数据库文件

volatility -f 7.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a0008c8010 //按虚内存地址查看注册表内容

volatility -f 7.raw --profile=Win7SP1x64 printkey -
K “SAM\Domains\Account\Users\Names”

//查看用户帐号

volatility -f 7.raw --profile=Win7SP1x64 printkey -K
“SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”
//查看最后登录的账户

volatility -f 7.raw --profile=Win7SP1x64 userassist //正在运行的程序、运行过多少次、最后一次运行的时间

volatility -f 7.raw --profile=Win7SP1x64 hivelist //提取HASH

volatility -f 7.raw --profile=Win7SP1x64 hashdump -y system -s SAM

volatility -f 7.raw --profile=Win7SP1x64 cmdscan //命令行历史

• volatility -f 7.raw --profile=Win7SP1x64 netscan //网络连接
  volatility -f 7.raw --profile=Win7SP1x64 iehistory //网页历史信息

以上为volatility自带插件，下面介绍自己安装插件使用的方法

Volatility插件

▪Firefoxhistory 插件
http://downloads.volatilityfoundation.org/contest/2014/DaveLasalle_ForensicSuite.zip //下载地址
/usr/lib/python2.7/dist-packages/volatility/plugins/ //移动到该目录下
volatility -f 7.raw --profile=Win7SP1x64 firefoxhistory //使用该插件

▪Timeline 插件
volatility -f 7.raw --profile=Win7SP1x64 timeliner
从多个位置收集大量系统活动信息

USN 日志记录插件
– NTFS 特性，用于跟踪硬盘内容变化（不记录具体变更内容）
– https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/
usnparser.py
– volatility -f 7.raw --profile=Win7SP1x64 usnparser --output=csv --output-
file=usn.csv

▪内存取证发现恶意软件

– https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
– https://code.google.com/archive/p/volatility/wikis/
SampleMemoryImages.wiki

内存取证发现恶意软件

– XP 建立 meterpreter session 后dump 内存分析

– volatility -f xp.raw --profile=Win7SP1x64 pstree

– volatility connscan 网络连接

– volatility getsids -p 111,222 # SID

– volatility dlllist -p 111,222 # 数量

– volatility malfind -p 111,222 -D mem/ #检查结果查毒

备注：以上介绍的有些粗略，对于电子取证这一块有兴趣的朋友可以深入研究，欢迎探讨！！感谢转发关注！！

电子取证volatility相关推荐

1. kali 安装volatility_电子取证技术之实战Volatility工具

   原标题:电子取证技术之实战Volatility工具 本文转载自公众号:安全龙 作者:beswing Volatility 的安装 这次讲的是在linux下的取证,所以我安装的也是linux平台下的Vo ...

2. 【“到此一游”系列】（菜鸡参加“美亚杯” 电子取证大赛感受）

   到此一游 -- 美亚杯 感受及经验 背景 比赛现场 1. 上午八点二十 2. 九点 3. 十一点 我的比赛过程 比赛经验 我的思路是 1. 第一步 2. 第二步 3.第三步 注 结尾 感受及经验 背景 ...

3. 盘古石杯电子取证比赛WP

   "盘古石杯"电子取证比赛WP 写在前面 刚刚比完了比赛,觉得自己还有很多东西没做过,现在趁着写WP的时候顺便复盘一下,望各位大佬指正. 2023年5月4日中午收到短信通知告诉我可以 ...

4. 电子取证之服务器取证，本人小白第一次从pc取证到服务器，这里有一套例题分享给大家，所有解析我都尽可能全面具体，希望与各位同仁一起学习。（非常推荐！）

   话不多说,先上链接,这个包含一个2G的服务器镜像和题目,原题是弘连公司的,致谢,此处纯粹分享解法供大家学习. 链接: https://pan.baidu.com/s/1p8T7Fez_VlnSqdzv ...

5. forensics - make virtual machine with E01[ewf] files on OSX ———— 电子取证 MAC OS平台仿真

   forensics - make virtual machine with E01[ewf] files on OSX 电子取证 MAC OS平台仿真 1挂载 库安装 osxfuse libewf 2 ...

6. 第四届长安杯电子取证大赛个人总结

   第四届长安杯电子取证竞赛个人总结 P1ANT731 第四届长安杯竞赛检材VC容器SHA256计算 PS E:\2022Changancup> certutil -hashfile E:\2022 ...

7. 电子取证平台需求设计文档

   基于区块链的电子取证平台 需求规格说明书 文件状态: [√] 草稿 [ ] 正式发布 [ ] 正在修改 文件标识: 当前版本: 1.1 作 者: 张林康 完成日期: 2021-04-11 版 本 历 ...

8. 【电子取证：镜像仿真篇】DD、E01系统镜像动态仿真

   [电子取证:镜像仿真篇]DD.E01系统镜像动态仿真 ​ 理想滚烫,人生再无星河!-[suy] 文章目录 [电子取证:镜像仿真篇]DD.E01系统镜像动态仿真 一.DD.E01系统镜像动态仿真 (一) ...

9. 四种电子取证软件的比较

   2013年2月22日,中国国家统计局发布2012年国民经济和社会发展统计公报,公报显示截止到2012年年末,全部互联网上网人数5.64亿人,其中宽带上网人数5.30亿人,互联网普及率达到42.1%.这 ...

10. 电子取证和司法鉴定笔记

    建立多重保护机制:防护–响应–取证. 电子取证:科学的运用提取和取证的方法,对从电子数据源中提取的电子证据进行保护.收集.验证的取证方法. 取证的挑战:云计算的取证挑战,移动取证,大数据取证,非传统软 ...

最新文章

1. 英伟达官宣：CUDA 将不再支持 macOS
2. 前端开发工程师 - 04.页面架构 - CSS Reset 布局解决方案 响应式 页面优化 规范与模块化...
3. JVM 虚拟机图文详解！真香！秒懂！一点都不难！
4. Java获取当前运行的CPU是几核的
5. EventBus学习
6. Java 加密 base64 encode
7. 光棍节程序员闯关秀过关全攻略
8. 计算机密码学奖,上海交通大学计算机科学与工程系(CSE)
9. javax.net.ssl.SSLException: closing inbound before receiving peer‘s close_notif---SpringCloud工作笔记111
10. Live Meeting 音频视频使用端口设置
11. 三菱FX5U，机床X轴Y轴工作台定位控制程序！使用三菱J4-A系列伺服驱动器绝对位置系统，程序大小27000多步
12. php快递按选择次数排序,php快递接口查询api 不限制次数
13. GDOI2017小结
14. 什么是条形码？条形码的历史
15. Spring Cloud Ribbon 全解 （1） - 总览篇
16. 网狐DevTools数据生成器
17. 一行代码得到全学科的北大核心期刊投稿方式
18. python视觉识别字_机器视觉以及验证码识别
19. java声明多个同类变量方法
20. 什么是高可用性_什么是高可用性| 第2部分

热门文章

1. Android之APP跳转权限设置界面
2. CMD命令下载远程文件
3. linux 安装mantis,在Ubuntu 18.04系统上安装Mantis Bug Tracker[MantisBT]
4. vs2019个性化配置
5. 第三十章 被动语态
6. 渲染用计算机功耗,【IT之家评测室】满功耗 RTX 3060 笔记本 GPU 表现如何？拯救者 R9000P 实测...
7. angular 万年历_世界豪华手表
8. TortoiseSVN常见用法
9. linux 逗号分隔,linux-如何用逗号分割列表而不是sp
10. xy苹果助手未受信任_经过苹果企业签名的应用该如何安装