Volatility2.6内存取证工具安装及入门-1

简介: Volatility2.6内存取证工具安装及入门

1-1. Volatility2.6简介

Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。

那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。

当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!

后续我也会更新解决各种疑难杂症报错的解决方案给大家。


2-1 Volatility2.6在Linux与Windows下的安装方法

2-1-1. Volatility2.6 Kali Linux下安装教程

Volatility2.6是基于Python2来实现的,而Volatility3的基于Python3来实现的,所以我们需要Python2的环境,推荐在kali下配置,因为kali自带Python2和Python3的环境,这样我们2.6和3的版本可以共存。

后续我也会写文章出Volatility3的安装和使用教程


该项目目前在Github上的开源项目地址以及官网:


https://github.com/volatilityfoundation/volatility

https://www.volatilityfoundation.org/releases

直接GitHub拉项目到Kali中或者通过官网下载对应版本并解压即可

到目录文件下 make install 或者 python2 setup.py install 进行安装

安装完成后执行 python2 volatility/vol.py -h 可以看到版本号即为安装成功

2-1-2. Volatility2.6 Windows下安装教程

在官网找到自己合适的版本下载即可,同时电脑要安装Python2的环境

cmd下运行volatility_2.6_win64_standalone.exe -h 即可

3-1. Volatility2.6的使用方法

3-1-1. 基础语法以及参数

-h:查看帮助

-f:指定镜像

imageinfo:获取当前内存镜像基本信息

–profile:指定镜像对应系统

相关命令后接参数:

-p:指定PID

-Q:指定内存地址

-D/–dump-dir:指定导出目录

-o:指定注册表的virtual地址

3-1-2. 常用命令以及语法

volatility -f 镜像 参数 命令
示例:volatility -f XXX.raw --profile=Win7SP1x64 pslist

常用命令

imageinfo    #查看镜像系统信息 使用对应版本的镜像,后面的参数使用–profile(两根横杠) --profile=Win7SP1x64

pslist    #看完镜像直接查看这个镜像上有那些进程正在运行 pslist应该比较好理解就是进程的列表的意思。
psxview   #可查看一些隐藏进程
pstree    #以树的形式来列出正在进行的进程,不会显示出隐藏或未链接的进程

cmdscan   #查看镜像的历史命令,就是和linux中history差不多。
consoles  #这个会比上面那个更好一些,能看到指令的输入和输出。
cmdline   #此指令将会列出所有命令行下运行的程序
cmdscan   #提取内存中保留的 cmd 命令使用情况
dlllist   #显示每个进程的加载dll列表
netscan   #获取到当时的网络连接情况
svcscan   #查看服务
modules   #查看内核驱动
modscan/driverscan     #可查看一些隐藏的内核驱动
ShimCache       #来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后“执行”时间.

privs   #显示进程权限
envars    #显示环境变量

filescan  #查找文件,可搭配 grep | "xxx"   /  filescan | grep -E “png”

memdump -p [PID] -D 保存目录      #通过相应的进程能直接dump出相关的文件。
dumpfiles -Q [16进制位置] -D 保存目录  #通过16进制位置dump出相关的文件。

editbox   #查看系统正在运行的编辑本
dumpregistry -D 保存目录  #导出系统的注册表
screenshot -D 保存目录    #查看并导出屏幕的截屏【需要安装PIL库】
clipboard       #查看剪贴板数据,加一个-v可以导出相关的数据。
iehistory       #查看浏览器的历史记录

printkey -K "SAM\Domains\Account\Users\Names" #查看用户名
printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"  #打印出最后登录的用户
hashdump        #获取各个账号的MD5加密密码
hivelist        #获取注册表单元配置列表
#找出获取system 的 virtual 地址,SAM 的 virtual 地址,然后在使用hashdump -y SYSTEM_virtual -x SAM_virtual.  (通过hivelist找出用户)

4-2. 常用命令以及语法

4-2-1. 查询内存镜像操作系统

python2 volatility-master/vol.py -f 1.vmem imageinfo

拿到镜像后例行识别操作系统,这边可以看到操作系统的相似度依次排序,越靠前说明越有可能是这个系统,(参考nmap -o参数的操作系统识别),后续所有指令前面都需要跟上 --profile=XXXX 参数来指定操作系统

4-2-2. 列出内存镜像运行的进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pslist

#查看一些隐藏进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 psxview

#以树的形式来列出正在进行的进程,不会显示出隐藏或未链接的进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pstree

#显示进程权限

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 privs

4-2-3. 提取内存中 cmd 命令使用情况

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdscan

我这个镜像貌似没有就不演示了

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 consoles

这个会比上面那个更好一些,能看到指令的输入和输出

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdline

此指令将会列出所有命令行下运行的程序

4-2-4. 显示每个进程的加载dll列表

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dlllist

4-2-5. 获取到当时的网络连接情况

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 netscan

可以看到这边有个1.exe的网络通信状态是ESTABLISHED且IP归属为海外,可以初步判定为恶意程序(木马、挖矿程序等)


补充:

1、LISTENING状态

 服务启动后首先处于侦听(LISTENING)状态。


2、ESTABLISHED状态

 ESTABLISHED的意思是建立连接。表示两台机器正在通信。


4-2-6. 查看服务

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 svcscan

4-2-7. 查看内核驱动

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modules

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modscan/driverscan  #可查看一些隐藏的内核驱动


Volatility2.6内存取证工具安装及入门-2

https://developer.aliyun.com/article/1501455

相关文章
|
18天前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
38 4
SpringBoot入门(4) - 添加内存数据库H2
|
20天前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
28 2
SpringBoot入门(4) - 添加内存数据库H2
|
12天前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
52 13
|
7天前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
22 4
|
15天前
|
Web App开发 JavaScript 前端开发
使用 Chrome 浏览器的内存分析工具来检测 JavaScript 中的内存泄漏
【10月更文挑战第25天】利用 Chrome 浏览器的内存分析工具,可以较为准确地检测 JavaScript 中的内存泄漏问题,并帮助我们找出潜在的泄漏点,以便采取相应的解决措施。
112 9
|
1月前
|
存储 监控 算法
JVM调优深度剖析:内存模型、垃圾收集、工具与实战
【10月更文挑战第9天】在Java开发领域,Java虚拟机(JVM)的性能调优是构建高性能、高并发系统不可或缺的一部分。作为一名资深架构师,深入理解JVM的内存模型、垃圾收集机制、调优工具及其实现原理,对于提升系统的整体性能和稳定性至关重要。本文将深入探讨这些内容,并提供针对单机几十万并发系统的JVM调优策略和Java代码示例。
48 2
|
1月前
|
程序员 C语言 C++
C++入门5——C/C++动态内存管理(new与delete)
C++入门5——C/C++动态内存管理(new与delete)
65 1
|
3月前
|
Linux Windows
反射内存卡驱动的安装
【8月更文挑战第28天】以下是反射内存卡驱动安装的一般步骤:首先确认内存卡型号及操作系统版本,并从制造商官网下载兼容的驱动程序。安装时,运行安装包,按提示接受许可协议,选择安装路径,连接内存卡,并完成安装,可能需重启计算机。最后,通过设备管理器验证安装是否成功,如遇问题可查阅相关文档或求助技术支持。
|
3月前
|
NoSQL Java 测试技术
Golang内存分析工具gctrace和pprof实战
文章详细介绍了Golang的两个内存分析工具gctrace和pprof的使用方法,通过实例分析展示了如何通过gctrace跟踪GC的不同阶段耗时与内存量对比,以及如何使用pprof进行内存分析和调优。
82 0
Golang内存分析工具gctrace和pprof实战
|
3月前
|
存储 编译器 C语言
【C语言篇】数据在内存中的存储(超详细)
浮点数就采⽤下⾯的规则表⽰,即指数E的真实值加上127(或1023),再将有效数字M去掉整数部分的1。
361 0