Volatility取證使用筆記

時間  2019-11-12
標籤 volatility 取證 使用 筆記 简体版
原文   原文鏈接 
 

最近簡單的瞭解了一下Volatility這個開源的取證框架,這個框架可以對導出的內存鏡像鏡像分析,能過經過獲取內核的數據結構,使用插件獲取內存的詳細狀況和運行狀態,同時能夠直接dump系統文件,屏幕截圖,查看進程等等等等~~~python
 

 
 

0x01 安裝
 

安裝分爲三步走:linux
 

     
 
  1.  
    下載git
     
    2.  
 
  2.  
    安裝必要的python依賴文件github
     
    3.  
 
  3.  
    安裝本體json
     
    4.  

 

下載
 

你能夠在Release中找到對應你係統(Mac,Win,Linux)的源代碼,固然也能夠經過github去獲取源碼:windows
 

git clone https://github.com/volatilityfoundation/volatility.git緩存
 

依賴
 

若是隻是用Volatility本體,就不要安裝這些依賴,可是若是想使用某些插件,就須要對這些以依賴進行安裝·網絡
 

Distorm3:牛逼的反編譯庫數據結構
 

pip install distorm3框架
 

Yara:惡意軟件分類工具
 

pip install yara
 

PyCrypto:加密工具集
 

pip install pycrypto
 

PIL:圖片處理庫
 

pip install pil
 

OpenPyxl:讀寫excel文件
 

pip install openpyxl
 

ujson:JSON解析
 

pip install ujson
 

安裝
 

若是你用的是獨立的win、linux、mac執行文件,那就沒必要安裝了。只要用python去執行就好。
 

如果下載了壓縮文件,那你能夠選擇直接運行python主程序,也能夠選擇使用python setup.py install的方式將Volatility以一個庫的形式安裝在系統的特定位置上,從而之後咱們能夠將Volatility做爲一個庫在其餘腳本中去引用namespace。
 

 
 

0x02 使用
 

kali自帶有volatility,因而我直接在kali山進行操做
 

我這裏也直接用我這兩天看的一道CTF的題目做爲實例來操做吧
 

 

Imageinfo
 

這個命令能夠用來獲取內存鏡像的摘要信息,好比系統版本,硬件構架等
 

volatility -f wuliao.data imageinfo
 

經過Suggested Profile(s) 咱們能夠知道這個鏡像文件的版本最有可能事Win7SP1x64
 

 

 
 

可使用--info參數來查看Volatility已經添加的profile和插件信息
 

 

 
 

Kdbgscan
 

這個插件能夠掃描文件的profile的值,一般掃描結果有多個,只有一個結果是徹底正確的,kdbgscan和imageinfo都只適用於windows的鏡像
 

 

 
 

Pslist
 

volatility -f wuliao.data --profile=Win7SPx64 pslist
 

pslist能夠直接列出運行的進程,若是進程已經結束,會在Exit列顯示日期和時間,代表進程已經結束
 

 

 
 

 
 

 
 

Hivelist
 

列舉緩存在內存中的註冊表
 

volatility -f wuliao.data --profile=Win7SP1x64 hivelist
 

 

 
 

filescan
 

掃描內存中的文件
 

volatility -f wuliao.data --profile=Win7SP1x64 filescan
 

 

 
 

 
 

 
 

filescan 也能夠結合grep命令來進行篩選,好比
 

volatility -f wuliao.data --profile=Win7SP1x64 filescan |grep "doc\|docx\|rtf"
 

 

 
 

 
 

 
 

也能夠
 

volatility -f wuliao.data --profile=Win7SP1x64 filescan |grep "flag"
 

 

 
 

 
 

 
 

Dumpfiles
 

導出內存中緩存的文件
 

我直接導出上面搜索flag獲得的flag.jpeg文件
 

volatility -f wuliao.data --profile=Win7SP1x64 dumpfiles -Q 0x000000007f142f20 -D ./ -u
 

 

 
 

 
 

 
 

Cmdscan/cmdline
 

提取內存中保留的cmd命令使用狀況
 

volatility -f wuliao.data --profile=Win7SP1x64 cmdline
 

 

 
 

 
 

 
 

查看截圖
 

volatility -f wuliao.data --profile=Win7SP1x64 screenshot --dump-dir=./
 

 

 
 

 
 

 
 

查看系統用戶名
 

volatility -f wuliao.data --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
 

查看網絡鏈接
 

volatility -f wuliao.data --profile=Win7SP1x64 netscan
 

 

 
 

我真是個啥都不會,啥都要學的five啊
 

 


        

            

        	





    

		

            
相關文章

            

                

                

                    

                

            


            
相關標籤/搜索

            
        


    

        

            

        

        

        
        

        

        

    




	

    





    

    	

    

        每日一句
    

    
    
    	每一个你不满意的现在,都有一个你没有努力的曾经。
    







    

    


    



    

        本站公眾號
    

    

           歡迎關注本站公眾號,獲取更多信息

        
    




    

    




	


	







    

        聯繫我們
        最近搜索
        最新文章
        
        沪ICP备13005482号-10

            MyBatis教程
            SQL 教程
            MySQL教程
            Java 教程
            Thymeleaf 教程
            Hibernate教程
            Spring教程 
            Redis教程