内存取证 volatility的使用 | 您所在的位置:网站首页 › php获取主机名 › 内存取证 volatility的使用 |
volatility 简介: volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。 官网下载地址:https://www.volatilityfoundation.org/26
这个软件的安装真的让我很烦,刚开始在github上面下载的源文件是需要python2环境运行,需要安装pycrypto distorm3模块
然后再我python2 -m pip install distorm3和python2 -m pip install distorm3均报错,在windows和Linux中均报错,
最后在官网竟然有windows和linux系统的可执行文件,直接下载就可以执行???????,好的扯淡结束,总之很烦,我很傻
volatility -f 文件名 imageinfo,这里我得文件名为easy_dump.img
可以列出内存中运行的进程的pid,ppid等信息
volatility -f easy_dump.img --profile=Win7SP1x64 pslist
可以通过这个获取本机的IP地址,类似于netstat -an
volatility -f easy_dump.img --profile=Win7SP1x64 netscan
volatility -f easy_dump.img --profile=Win7SP1x64 hivelist
volatility -f easy_dump.img --profile=Win7SP1x64 filescan,会查找所有文件
在我们filescan后,会给出文件在内存中的代号,指定代号就可以将文件导出
volatility -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x000000002408c460 -D ./ -u
在我们pslist会后,会给出进程的PID,只需要指定PID就可以将进程导出
扫描命令历史获取历史命令
从内存中获取截图,这截图怎么说呢,黑白的,貌似没什么用,但万一flag就藏在其中呢
volatility -f easy_dump.img --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
volatility -f easy_dump.img --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
可以获取在某个时间线做了写什么
|
CopyRight 2018-2019 实验室设备网 版权所有 |