• 内存取证工具Volatility使用


    可以用的文件后缀:.vmem / .dump / .raw / .img

    vol.py --info 可以查看插件

    1. 识别操作系统的基本信息:

    python2 vol.py mem.dump imageinfo

    1. 扫描进程:

    vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pslist

    vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pstree

    1. 扫描进程缓存的文件:

    vol.py -f memory.raw --profile=Win7SP1x64 filescan

    查找特定后缀的文件:

    vol.py -f example.raw --profile=Win7SP1x64 filescan | grep -E 'txt|png|jpg|gif|zip|rar|7z|pdf|doc'

    查找指定文件夹下的文件:

    volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User

    使用dumpfiles爆破文件内容:

    vol.py -f OtterCTF.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007e410890 --dump-dir=./

    通过memdump爆破出进程对应的信息:

    vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 3036 --dump-dir=./

    1. 查看进程环境变量:

    vol.py -f memory.raw --profile=Win7SP1x64 envars

    1. 扫描进程命令行参数:

    vol.py -f memory.raw --profile=Win7SP1x64 cmdscan

    vol.py -f memory.raw --profile=Win7SP1x64 cmdline

    1. 扫描动态库列表:

    #可使用-p参数指定PID号

    vol.py -f memory.img --profile=Win2003SP1x86 dlllist

    vol.py -f memory.img --profile=Win2003SP1x86 ldrmodules

    vol.py -f memory.img --profile=Win2003SP1x86 malfind

    1. 用户的用户名和密码(hash值):

    vol.py -f OtterCTF.vmem --profile=Win7SP1x64 hashdump

    1. 扫描注册表项:

    vol.py -f OtterCTF.vmem --profile=Win7SP1x64 printkey

    1. 扫描注册表数据(键值):

    vol.py -f memory.raw --profile=Win7SP1x64 hivelist

    vol.py -f memory.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a001cce010(注册表Volatility地址)

    1. 查看网络连接状态:

    vol.py -f memory.raw --profile=Win7SP1x64 svcscan

    1. 查看服务运行状态:

    vol.py -f memory.raw --profile=Win7SP1x64 svcscan

    1. 查看浏览器历史记录:

    vol.py -f 1.vmem --profile=Win7SP1x64 iehistory

    1. 查看当前展示的notepad的内容:

    vol.py -f 1.vmem --profile=Win7SP1x64 notepad

    1. 提取进程:

    vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./

    1. 获取屏幕截图:

    vol.py -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./

    1. 查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等:

    vol.py -f 1.vmem --profile=Win7SP1x64 userassist

    1. 最大程序提取信息:

    vol.py -f 1.vmem --profile=Win7SP1x64 timeliner

    调用插件:vol.py [plugins] -f example.raw --profile=Win7SP1x64 [插件名]

    使用mimikatz插件快速获取用户密码:

    vol.py --plugins=/home/kasm-user/Desktop/MD/volatility/volatility/plugins -f mem.dump --profile=Win7SP1x64 mimikatz

    使用ndispktscan插件搜索内核的网络流量包信息:

    vol.py --plugins=/home/kasm-user/Desktop/MD/volatility/volatility/plugins -f OtterCTF.vmem --profile=Win7SP1x64 ndispktscan

    使用VolDiff进行恶意软件检测(单独使用)

  • 相关阅读:
    XML入门介绍
    LeetCode50天刷题计划第二季(Day 23 — 重排链表(16.20- 17.00)
    华测监测预警系统 2.2 任意文件读取漏洞复现 [附POC]
    c++ 模版的一些注意问题
    RDS恢复其中某个数据库备份的流程
    计算机网络 基础知识 套接字 编程
    Jupyter shortcuts
    STM32的光敏检测自动智能窗帘控制系统proteus设计
    ssm毕设项目学生公寓智慧管理系统d6472(java+VUE+Mybatis+Maven+Mysql+sprnig)
    【Leetcode刷题Python】120. 三角形最小路径和
  • 原文地址:https://blog.csdn.net/qq_60923912/article/details/126352741