关于volatility的使用体会

目录

基本介绍

流程

开局操作

后续操作



基本介绍

Volatility是一个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等。

流程

开局操作

对于Volatility的使用,一般来讲,是先用来对内存信息进行获取

命令:volatility -f 这边复制进来你的镜像文件 imageinfo

然后,经过一会的等待,会出来一些关于镜像文件的内存信息。

比如系统版本号;

后续操作

上步,我们获得了系统的版本号,这是比较重要的。假设获得的版本为Win7SP1x64。

以下都是命令介绍。

命令:volatility -f memory --profile=Win7SP1x64 pslist

作用:列出进程

命令:volatility -f memory --profile=Win7SP1x64 cmdscan

作用:查看cmd命令历史

命令:volatility -f memory --profile=Win7SP1x64 filescan | grep flag

作用:查找flag文件


命令:volatility -f memory --profile=Win7SP1x64 dumpfiles -Q 0x000000001e85f430 --dump-dir=./ 

作用:dump目标文件,也就是下载目标文件

命令:volatility -f memory --profile=Win7SP1x64 dumpregistry --dump-dir=/D:/text/

这里得/D:/text/可以自己选个地方,选个空文件夹,用来存放信息

作用:dump目标文件,也就是下载目标文件

命令:volatility -f bb.raw --profile=Win7SP1x86_23418 hashdump

作用:获取内存中的系统密码

命令:volatility -f memory --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

作用:列出SAM表用户

命令:volatility -f memory --profile=Win7SP1x64 hivelist

作用:获取system和SAM地址


 

上一篇:PTA L1-025 整数A+B


下一篇:2018秋寒假作业4—PTA编程总结1