kali 安装volatility_Volatility取证使用笔记
最近简单的了解了一下Volatility这个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等等等等~~~
0x01 安装
安装分为三步走:
下载
安装必要的python依赖文件
安装本体
下载
你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以通过github去获取源码:
依赖
如果只是用Volatility本体,就不要安装这些依赖,但是如果想使用某些插件,就需要对这些以依赖进行安装·
Distorm3:牛逼的反编译库
pip install distorm3
Yara:恶意软件分类工具
pip install yara
PyCrypto:加密工具集
pip install pycrypto
PIL:图片处理库
pip install pil
OpenPyxl:读写excel文件
pip install openpyxl
ujson:JSON解析
pip install ujson
安装
如果你用的是独立的win、linux、mac执行文件,那就不必安装了。只要用python去执行就好。
若是下载了压缩文件,那你可以选择直接运行python主程序,也可以选择使用python setup.py install的方式将Volatility以一个库的形式安装在系统的特定位置上,从而以后我们可以将Volatility作为一个库在其他脚本中去引用namespace。
0x02 使用
kali自带有volatility,于是我直接在kali山进行操作
我这里也直接用我这两天看的一道CTF的题目作为实例来操作吧
Imageinfo
这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等
volatility -f wuliao.data imageinfo
通过Suggested Profile(s) 我们可以知道这个镜像文件的版本最有可能事Win7SP1x64
可以使用--info参数来查看Volatility已经添加的profile和插件信息
Kdbgscan
这个插件可以扫描文件的profile的值,通常扫描结果有多个,只有一个结果是完全正确的,kdbgscan和imageinfo都只适用于windows的镜像
Pslist
volatility -f wuliao.data --profile=Win7SPx64 pslist
pslist可以直接列出运行的进程,如果进程已经结束,会在Exit列显示日期和时间,表明进程已经结束
Hivelist
列举缓存在内存中的注册表
volatility -f wuliao.data --profile=Win7SP1x64 hivelist
filescan
扫描内存中的文件
volatility -f wuliao.data --profile=Win7SP1x64 filescan
filescan 也可以结合grep命令来进行筛选,比如
volatility -f wuliao.data --profile=Win7SP1x64 filescan |grep "doc\|docx\|rtf"
也可以
volatility -f wuliao.data --profile=Win7SP1x64 filescan |grep "flag"
Dumpfiles
导出内存中缓存的文件
我直接导出上面搜索flag得到的flag.jpeg文件
volatility -f wuliao.data --profile=Win7SP1x64 dumpfiles -Q 0x000000007f142f20 -D ./ -u
Cmdscan/cmdline
提取内存中保留的cmd命令使用情况
volatility -f wuliao.data --profile=Win7SP1x64 cmdline
查看截图
volatility -f wuliao.data --profile=Win7SP1x64 screenshot --dump-dir=./
查看系统用户名
volatility -f wuliao.data --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
查看网络连接
volatility -f wuliao.data --profile=Win7SP1x64 netscan
我真是个啥都不会,啥都要学的five啊
kali 安装volatility_Volatility取证使用笔记相关推荐
- kali 安装volatility_volatility取证学习-linux
第一次 按照大神的博客,完成这个实验,希望后来者,少入点坑 工具介绍:volatility volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统.可以通过插件来拓展功 ...
- kali 安装volatility_电子取证技术之实战Volatility工具
原标题:电子取证技术之实战Volatility工具 本文转载自公众号:安全龙 作者:beswing Volatility 的安装 这次讲的是在linux下的取证,所以我安装的也是linux平台下的Vo ...
- KALI LINUX渗透测试学习笔记
KALI LINUX渗透测试学习笔记 (苑房弘主讲) 第1章 课程介绍 任务1:Kali Linux渗透测试介绍.exe 安全问题的根源: 分层思想 只求功能实现 最大的威胁是人 渗透测试: 尝试挫败 ...
- kali linux 渗透测试学习笔记——被动信息收集
kali linux 渗透测试学习笔记--linux 被动信息收集 被动信息收集 被动信息收集 公开渠道可获得的信息 已公开的信息,通过互联网等渠道去获得 与目标系统不产生直接交互 不对目标访问,扫描 ...
- kali linux提示安装系统失败,kali“安装系统”失败分析及解决
昨天打算把kali安装在硬盘上,因而便去下载了一个amd64位的1.06版本的kali linux.linux 而后就这样一直放着,过一段时间后,下载完成.我是放在D盘根目录,那时只有一个kali-l ...
- Kali安装之后必做20件事 第二版(2017-07-07不断更新)
原文地址: http://blog.niuti.org/post/380915_5a5b269# 一,更换比较快的软件源 修改sources.list文件(su): leafpad /etc/apt/ ...
- kali linux升级火狐,Kali安装最新firefox卸载旧的firefox
Kali安装最新firefox卸载旧的firefox 解压bz2后缀的压缩包(都安装了图形界面吧,解个压应该没问题吧) 先切换root账号su 删除旧的火狐文件夹rm -rf /usr/lib/fir ...
- kali linux切换更新源_使用Xshell链接Linux、kali更换更新源及kali安装软件
一.Xshell首次链接kali系统中的ssh Xshell:帮助我们去连接各种服务平台,方便管理服务器,链路可以加密处理(ssh/vsftp) 1.开启kali中的ssh服务,service ssh ...
- linux mysql5.6编译_Linux 环境下编译安装MySQL5.6的笔记记录
一.首先搭建好Linux环境,我这边使用的是redhat enterprise 6.5,并且建议磁盘划分逻辑卷,以便后期的扩容工作. 二.环境搭建好了之后,我们就要去准备MySQL的安装文件,到现在为 ...
- linux 安装jeakens_Chapter 2. OpenSSL的安装和配置学习笔记
Chapter 2. OpenSSL的安装和配置学习笔记 2.1 在linux上面安装OpenSSL 我还是做点No paper事情比较在行,正好和老师的课程接轨一下. 以前尝试过在Windows上面 ...
最新文章
- arduino 控制无刷电机_智能控制轮椅来了,残疾人的福音!
- Java常用类之【字符串相关类型】
- html怎么自动设为底部,让底部永远在页面最底部显示的css方法
- 编程 中文等宽_UG编程经典教程
- java desktop和synth_java synth实例
- matlab2012生成dll,64位win7下vc2010如何調用matlab2012a中生成的dll文件
- Stateless 3.0——.NET Core上的状态机库
- phpcms底部版权信息修改教程——修改“开发团队”信息
- 2020年12月最新OneDrive网盘免费领取5TB教程
- Openstack平台搭建之第二天
- java中tcp传图片_Java学习之TCP上传图片
- 在磁盘上给文件快速预留一大片空间
- 各种学习网站博客汇总(持续添加中。。。)
- 拓端tecdat|数据感知游客的森林公园游憩需求
- 关于urule决策引擎客户端服务器配置的一些细节
- 使用python打开多台IMAGINGSOURCE工业相机
- H3CIE(WLAN)学习笔记(4)——PHY层协议
- wxid转扫一扫添加好友
- 齿轮标准模数c语言编程,齿轮标准模数可以使用( )表示
- objc_msgSend流程分析之缓存查找