带有恶意软件的内存镜像下载:https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
DumpIt v1.3.2:https://qpdownload.com/dumpit/
一、volatility v2.6
1.使用内存镜像转储工具dumpit生成内存镜像文件(.raw)或者使用虚拟机快照文件(.vmem)
2.使用imageinfo 插件获取内存镜像信息,如操作系统版本、CPU等信息。
可使用-h参数查看volatility的命令选项和支持的插件。一般使用格式:
volatility -f [image] --profile=[profile] [plugin]
如下图,插件所在目录:/usr/lib/python2.7/dist-packages/volatility/plugins
volatility -f WIN7.raw imageinfo
-f:指定内存镜像文件名
imageinfo:用于识别待分析的内存镜像信息
判断完镜像后,使用--profile指定操作系统版本
3、使用netscan插件查看网络连接状态
注:不同的操作系统使用的插件可能不同
volatility -f WIN7.raw --profile=Win7SP1x64 netscan
4.查看正在运行的进程
volatility -f WIN7.raw --profile=Win7SP1x64 pstree
5.使用cmdscan提取出内存中保留的cmd命令使用情况:
6.svcscan:该插件可查看在内存镜像上注册了哪些服务
7.使用iehistory插件获取IE浏览器的缓存和历时,可查询到用户的访问连接和重定向链接等等。
8.userassist:可查看系统中已安装程序执行的次数和最后一次运行的时间
9.hivelist:打印输出注册表蜂巢的列表,包括注册表的虚拟地址以及各个注册表项的完整路径。
hivedump:打印输出指定注册表项的所有子项
printkey:打印输出指定注册表项下的所有子键及其键值 "SAM\Domains\Account\Users\Names"
"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"查看最后登录系统的用户,其中Last updated指的是该用户信息最后被修改的时间而不是最后的登录时间。
10.若想全方位地将内存中的信息提取出来,可以使用 timeliner插件,它会从多个位置来收集系统的活动信息,包括System time、IEHistory、Process、DLL等等。
10.恶意代码: