內存取證工具Volatility怎么用
小編給大家分享一下內存取證工具Volatility怎么用����,相信大部分人都還不怎么了解�����,因此分享這篇文章給大家參考一下���,希望大家閱讀完這篇文章后大有收獲��,下面讓我們一起去了解一下吧��!
關于volatility的一些常用命令:
imageinfo
識別操作系統:
volatility -f example.raw imageinfo
pslist/pstree/psscan
掃描進程:
volatility -f example.raw --profile=Win7SP1x64 pslist #win7SP1x64為操作系統
filescan
掃描文件:
volatility -f example.raw --profile=Win7SP1x64 filescan | grep -E 'txt|png|jpg|gif|zip|rar|7z|pdf|doc'
volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User #搜索指定文件夾下的文件
Dumpfiles
volatility -f wuliao.data --profile=Win7SP1x64 dumpfiles -Q 0x000000007f142f20 -D ./ -u
cmdscan
#查看終端輸入歷史
dumpfile/memdump
導出文件:
volatility -f example.raw --profile=Win7SP1x64 memdump -p [PID] -D ./ # -D ./ 導出到當前目錄
or
volatility -f example.raw --profile=Win7SP1x64 dumpfiles -Q [Offset] -D ./
調用插件
volatility [plugins] -f example.raw --profile=Win7SP1x64
提取內存中保留的 cmd 命令使用情況
volatility -f mem.vmem --profile=WinXPSP2x86 cmdscan
獲取到當時的網絡連接情況
volatility -f mem.vmem --profile=WinXPSP2x86 netscan
#分析計算機內存鏡像��,以下哪個遠程地址與本地地址建立過 TCP 連接��? 一般不使用插件而使用本命令
獲取 IE 瀏覽器的使用情況���。
volatility -f mem.vmem --profile=WinXPSP2x86 iehistory
hivelist:查看緩存在內存的注冊表
volatility -f bb.raw --profile=Win7SP1x86 hivelist
userassist:提取出內存中記錄的 當時正在運行的程序有哪些���,運行過多少次����,最后一次運行的時間等信息
volatility -f bb.raw --profile=Win7SP1x86 userassist
獲取內存中的系統密碼�,我們可以使用 hashdump 將它提取出來
volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y (注冊表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)
volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60
printkey: 獲取SAM表中的用戶
比如:volatility -f mem.vmem –-profile=WinXPSP2x86 printkey -K “SAM\Domains\Account\Users\Names”
發現賬戶四個用戶�����,分別為:
Administrator
Guest
HelpAssistant
SUPPORT_388945a0
hashdump:獲取內存中的系統密碼
volatility -f bb.raw --profile=Win7SP1x86 hashdump
最大程度上將內存中的信息提取出來�,那么你可以使用 timeliner 這個插件����。它會從多個位置來收集系統的活動信息
volatility -f mem.vmem --profile=Win7SP1x86 timeliner
volatility -f mem.vmem --profile=Win7SP1x86 timeliner | grep Company_Files #查找指定文件夾下的文件的訪問詳細情況�����,可以導出 > 文件
#這個可以看到誰誰誰在什么時候做了什么 ��,一般導出的數據很多���,可以導入進文件中����,之后搜索查找
#若無法找到此文件夾下某些文件或文件夾的訪問記錄�,我們可以通過dump訪問此文件夾的進程���,然后使用strings語句進行查找關鍵字
#例如 strings 3484.dmp | grep 'Stephen'
getsids:查看SID
volatility -f bb.raw --profile=Win7SP1x86_23418 getsids
#查看到的用戶sid 可能分散在四處��,仔細找
常見的插件
查看當前展示的 notepad 文本
volatility notepad -f file.raw --profile=WinXPSP2x86
查看當前操作系統中的 password hash��,例如 Windows 的 SAM 文件內容
volatility hashdump -f file.raw --profile=WinXPSP2x86
查看所有進程
volatility psscan -f file.raw --profile=WinXPSP2x86
掃描所有的文件列表
volatility filescan -f file.raw --profile=WinXPSP2x86
掃描 Windows 的服務
volatility svcscan -f file.raw --profile=WinXPSP2x86
查看網絡連接
volatility connscan -f file.raw --profile=WinXPSP2x86
查看命令行上的操作
volatility cmdscan -f file.raw --profile=WinXPSP2x86
根據進程的 pid dump出指定進程到指定的文件夾dump_dir
volatility memdump -p 120 -f file.raw --profile=WinXPSP2x86 --dump-dir=dump_dir
dump 出來的進程文件����,可以使用 foremost 來分離里面的文件����,用 binwak -e 經常會有問題�����,需要重新修復文件
對當前的窗口界面��,生成屏幕截圖
volatility screenshot -f file.raw --profile=WinXPSP2x86 --dump-dir=out
一些思路
1.計算機安裝windows的時間
在Microsoft路徑下尋找系統信息�����。
volatility -f memdump.mem --profile=Win7SP1x86_23418 -o 0x8bd898e8 printkey -K "WOW6432Nod\Microsoft"
printkey: 打印注冊表項及其子項和值
-o 指定注冊表的virtual地址
一般系統信息存在于
我們可以指定 -o virtual 地址去printkey 獲取key
之后一步一步來即可
InstalledDate對應的鍵值����,但是可以通過Last updated進行大致判斷��。正常的系統信息會記錄在如下路徑:(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionInstallDate)����。
2.計算機名稱
在注冊表SYSTEM里面存在計算機名稱
具體位置:ControlSet001\Control\ComputerName\ComputerName
我們可以使用命令:
volatility -f memdump.mem --profile=Win7SP1x86_23418 -o 0x8bc1a1c0 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
3.查看tcp
volatility -f memdump.mem --profile=Win7SP1x86_23418 timeliner | grep TCP
4.外接存儲設備的取證 -USB
1.首先使用命令volatility -h | grep service查找與設備相關的命令��。
volatility -h | grep service
2.然后使用設備掃描命令查詢是否有USB使用痕跡��。
volatility -f memdump.mem --profile=Win7SP1x86_23418 svscan | grep usb
3.在虛擬地址內存中查找key�,在注冊表中查詢USB設備使用情況(注冊表中與USB設備相關的路徑為:ControlSet001\Enum\USBSTOR
路徑:ControlSet001\Enum\USBSTOR
使用命令:
volatility -f memdump.mem --profile=Win7SP1x86_23418 -o 0x8bc1a1c0 printkey -K "ControlSet001\Enum\USBSTOR"
以上是“內存取證工具Volatility怎么用”這篇文章的所有內容���,感謝各位的閱讀��!相信大家都有了一定的了解�����,希望分享的內容對大家有所幫助�,如果還想學習更多知識�����,歡迎關注億速云行業資訊頻道����!
