| 取证分析 | 您所在的位置:网站首页 › vol软件下载 › 取证分析 |
取证分析
|
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。 工具下载地址:https://github.com/volatilityfoundation 2.Volatility安装方式 目前作者已公布了两个版本的Volatility,Volatility2是基于py2环境,Volatility3是基于py3环境,接下来小编将带领大家分别对这两个环境进行安装。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数  进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> sudo python3 setup.py install 此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功 >>> sudo python3 vol.py -h (2)Volatility2环境的安装 首先请确保系统中已安装python2环境,安装pycrypto库函数 首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/  注意:如果遇到报错可尝试执行如下命令,解决问题: >>> sudo apt-get install python-dev >>> sudo pip install setuptools 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> sudo python2 setup.py install 此时,就成功安装了Volatility2工具,可以执行如下指令查看是否安装是成功 >>> sudo python2 vol.py -h 3.Volatility使用方式 Volatility2的使用方法 (1) 获取系统基本信息 >>>python2 vol.py -f ../Target.vmem imageinfo (2) 列出进程信息 >>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist (3) 提取某进程文件内容 >>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D / (4) 查看文件目录 >>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan (5) 提取某文件内容 >>>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 >>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f ../Target.vmem windows.info (2) 列出进程信息  (3) 提取某进程文件内容 >>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump (4) 查看文件目录  (5) 提取某文件内容(此功能存在问题,待进一步解决!)  - 往期推荐 - |
【本文地址】