基本介绍
命令总览
流程
开局操作
后续操作
cmdscan
filescan
dump
hashdump
printkey
pslist
pstree
hivelist
getsids
基本介绍
Volatility是一个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等。
命令总览编辑
编辑
编辑
编辑
流程开局操作对于Volatility的使用,一般来讲,是先用来对内存信息进行获取
命令:volatility -f 这边复制进来你的镜像文件 imageinfo
然后,经过一会的等待,会出来一些关于镜像文件的内存信息。
比如系统版本号;
在volatility存放文件当中,输入cmd,调出命令行。
编辑
然后输入命令
会出现以下的信息
编辑后续操作上步,我们获得了系统的版本号,这是比较重要的。假设获得的版本为Win7SP1x64。
假设内存镜像文件为memory。
以下都是命令介绍。
cmdscan命令:volatility -f memory --profile=Win7SP1x64 cmdscan
作用:查看cmd命令历史
编辑
filescan命令:volatility -f memory --profile=Win7SP1x64 filescan | grep flag
作用:查找flag文件
dump命令:volatility -f memory --profile=Win7SP1x64 dumpfiles -Q 0x000000001e85f430 --dump-dir=./
作用:dump目标文件,也就是下载目标文件
命令:volatility -f memory --profile=Win7SP1x64 dumpregistry --dump-dir=/D:/text/
这里得/D:/text/可以自己选个地方,选个空文件夹,用来存放信息
作用:dump目标文件,也就是下载目标文件
hashdump命令:volatility -f memory --profile=Win7SP1x86_23418 hashdump
作用:获取内存中的系统密码
printkey命令:volatility -f memory --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
作用:列出SAM表用户
pslistWindows使用一个循环的双链接列表_EPROCESS结构体来跟踪所有的活动进程;并且,这个列表位于内核中。而Volatility就是利用了这个事实:首先,它会寻找PsActiveProcessHead指针,因为该指针指向内核的_EPROCESS结构体列表的起始位置;之后,Volatility会遍历这个列表,从而找出正在运行的所有进程。
命令:volatility -f coreflood.exe pslist
作用:展示主机上正在运行的所有进程
命令:volatility -f memory --profile=Win7SP1x64 pslist
作用:列出转储时运行的进程的详细信息
命令:volatility -f memory --profile=Win7SP1x64 pslist >pslist.txt
作用:当内容比较多时候,导出文本进一步分析查看
pstree命令:volatility -f memory --profile=Win7SP1x64 pstree
作用:而有时候pslist无法扫描一些隐藏和终止的进程,这时候可以用psscan,passcan是以树的形式进行扫描展示的。
hivelist命令:volatility -f memory --profile=Win7SP1x86_23418 hivelist
作用:查看缓存在内存的注册表,获取system和SAM地址
getsids命令:volatility -f bb.raw --profile=Win7SP1x86_23418 getsids
作用:查看SID