电子取证--windows下的volatility分析与讲解

1.volatility的安装

提示：我用的是2.6版本（windows），如果直接下载的出现问题，用迅雷就可以解决

下载地址：Volatility

在这里插入图片描述

2.volatility的使用

在这里插入图片描述
1.进入终端，查看镜像的系统信息：

volatility.exe -f image.vmem imageinfo

一般都以第一个为主
在这里插入图片描述
2.查看进程

volatility.exe -f image.vmem --profile=Win7SP1x64 pslist

在这里插入图片描述
3.查看服务

volatility.exe -f image.vmem --profile=Win7SP1x64 svcscan

在这里插入图片描述
扩展：有没有发现，执行什么就改最后面那个就可以了

查看网络连接：volatility.exe -f image.vmem --profile=Win7SP1x64 netscan
查看历史cmd命令：volatility.exe -f image.vmem --profile=Win7SP1x64 cmdscan
查看进程命令行参数：volatility.exe -f image.vmem --profile=Win7SP1x64 cmdline
查找所有文件列表：volatility.exe -f image.vmem --profile=Win7SP1x64 filescan
相关信息匹配查询：volatility.exe -f image.vmem --profile=Win7SP1x64filescan | findstr ".txt\|.doc\|.zip\|.png"
查flag文件：volatility.exe -f image.vmem --profile=Win7SP1x64 filescan | findstr "flag" 
显示进程权限：volatility.exe -f image.vmem --profile=Win7SP1x64 privs
显示环境变量：volatility.exe -f image.vmem --profile=Win7SP1x64 envars

4.提取文件
在这里插入图片描述
使用dumpfiles提取文件
-Q的参数为内存地址
–dump-dir的参数为导出文件的目录

volatility -f image.vmem --profile=Win7SP1x64 dumpfiles -Q 0x7a09f20 -D D:\网络安全\3.渗 透实战\CTF\内存取证\volatility_2.6_win64_standalone

使用010Editor打开文件（或者notepad++也可查看相应信息）：

在这里插入图片描述
5.常用命令
查看用户名密码信息

volatility -f 1.vmem --profile=Win7SP1x64 hashdump

查看进程

volatility -f 1.vmem --profile=Win7SP1x64 pslist

查看服务

volatility -f 1.vmem --profile=Win7SP1x64 svcscan

查看浏览器历史记录

volatility -f 1.vmem --profile=Win7SP1x64 iehistory

查看网络连接

volatility -f 1.vmem --profile=Win7SP1x64 netscan

查看命令行操作

volatility -f 1.vmem --profile=Win7SP1x64 cmdscan

查看文件

volatility -f 1.vmem --profile=Win7SP1x64 filescan

查看文件内容

volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./

查看当前展示的notepad内容

volatility -f 1.vmem --profile=Win7SP1x64 notepad

提取进程

volatility -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./

屏幕截图

volatility -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./

查看注册表配置单元

volatility -f 1.vmem --profile=Win7SP1x64 hivelist

查看注册表键名

volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a001032410

查看注册表键值

volatility -f 1.vmem --profile=Win7SP1x64 printkey -K "xxxxxxx"

查看运行程序相关的记录，比如最后一次更新时间，运行过的次数等

volatility -f 1.vmem --profile=Win7SP1x64 userassist

最大程序提取信息

volatility -f 1.vmem --profile=Win7SP1x64 timeliner

3.CTF练习：

例如：
在这里插入图片描述

在这里插入图片描述

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/196770.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！