1.volatility的安装
提示:我用的是2.6版本(windows),如果直接下载的出现问题,用迅雷就可以解决
下载地址:Volatility
2.volatility的使用
1.进入终端,查看镜像的系统信息:
volatility.exe -f image.vmem imageinfo
一般都以第一个为主
2.查看进程
volatility.exe -f image.vmem --profile=Win7SP1x64 pslist
3.查看服务
volatility.exe -f image.vmem --profile=Win7SP1x64 svcscan
扩展:有没有发现,执行什么就改最后面那个就可以了
查看网络连接:volatility.exe -f image.vmem --profile=Win7SP1x64 netscan
查看历史cmd命令:volatility.exe -f image.vmem --profile=Win7SP1x64 cmdscan
查看进程命令行参数:volatility.exe -f image.vmem --profile=Win7SP1x64 cmdline
查找所有文件列表:volatility.exe -f image.vmem --profile=Win7SP1x64 filescan
相关信息匹配查询:volatility.exe -f image.vmem --profile=Win7SP1x64filescan | findstr ".txt\|.doc\|.zip\|.png"
查flag文件:volatility.exe -f image.vmem --profile=Win7SP1x64 filescan | findstr "flag"
显示进程权限:volatility.exe -f image.vmem --profile=Win7SP1x64 privs
显示环境变量:volatility.exe -f image.vmem --profile=Win7SP1x64 envars
4.提取文件
使用dumpfiles提取文件
-Q的参数为 内存地址
–dump-dir的参数为导出文件的目录
volatility -f image.vmem --profile=Win7SP1x64 dumpfiles -Q 0x7a09f20 -D D:\网络安全\3.渗 透实战\CTF\内存取证\volatility_2.6_win64_standalone
使用010Editor打开文件(或者notepad++也可查看相应信息):
5.常用命令
查看用户名密码信息
volatility -f 1.vmem --profile=Win7SP1x64 hashdump
查看进程
volatility -f 1.vmem --profile=Win7SP1x64 pslist
查看服务
volatility -f 1.vmem --profile=Win7SP1x64 svcscan
查看浏览器历史记录
volatility -f 1.vmem --profile=Win7SP1x64 iehistory
查看网络连接
volatility -f 1.vmem --profile=Win7SP1x64 netscan
查看命令行操作
volatility -f 1.vmem --profile=Win7SP1x64 cmdscan
查看文件
volatility -f 1.vmem --profile=Win7SP1x64 filescan
查看文件内容
volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./
查看当前展示的notepad内容
volatility -f 1.vmem --profile=Win7SP1x64 notepad
提取进程
volatility -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./
屏幕截图
volatility -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./
查看注册表配置单元
volatility -f 1.vmem --profile=Win7SP1x64 hivelist
查看注册表键名
volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a001032410
查看注册表键值
volatility -f 1.vmem --profile=Win7SP1x64 printkey -K "xxxxxxx"
查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等
volatility -f 1.vmem --profile=Win7SP1x64 userassist
最大程序提取信息
volatility -f 1.vmem --profile=Win7SP1x64 timeliner
3.CTF练习:
例如: