目录
基本介绍
Volatility是一个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等。
流程
开局操作
对于Volatility的使用,一般来讲,是先用来对内存信息进行获取
命令:volatility -f 这边复制进来你的镜像文件 imageinfo
然后,经过一会的等待,会出来一些关于镜像文件的内存信息。
比如系统版本号;
后续操作
上步,我们获得了系统的版本号,这是比较重要的。假设获得的版本为Win7SP1x64。
以下都是命令介绍。
命令:volatility -f memory --profile=Win7SP1x64 pslist
作用:列出进程
命令:volatility -f memory --profile=Win7SP1x64 cmdscan
作用:查看cmd命令历史
命令:volatility -f memory --profile=Win7SP1x64 filescan | grep flag
作用:查找flag文件
命令:volatility -f memory --profile=Win7SP1x64 dumpfiles -Q 0x000000001e85f430 --dump-dir=./
作用:dump目标文件,也就是下载目标文件
命令:volatility -f memory --profile=Win7SP1x64 dumpregistry --dump-dir=/D:/text/
这里得/D:/text/可以自己选个地方,选个空文件夹,用来存放信息
作用:dump目标文件,也就是下载目标文件
命令:volatility -f bb.raw --profile=Win7SP1x86_23418 hashdump
作用:获取内存中的系统密码
命令:volatility -f memory --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
作用:列出SAM表用户
命令:volatility -f memory --profile=Win7SP1x64 hivelist
作用:获取system和SAM地址