Volatility取证分析工具
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
1.Volatility功能介绍
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。
工具下载地址:https://github.com/volatilityfoundation
2.Volatility安装方式
目前作者已公布了两个版本的Volatility,Volatility2是基于py2环境,Volatility3是基于py3环境,接下来小编将带领大家分别对这两个环境进行安装。
(1)Volatility3环境的安装
首先请确保系统中已安装python3环境,安装pycrypto库函数
进入到Volatility目录,执行如下指令,即可将Volatility成功安装
>>> sudo python3 setup.py install
此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功
>>> sudo python3 vol.py -h
(2)Volatility2环境的安装
首先请确保系统中已安装python2环境,安装pycrypto库函数
首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/
注意:如果遇到报错可尝试执行如下命令,解决问题:
>>> sudo apt-get install python-dev
>>> sudo pip install setuptools
进入到Volatility目录,执行如下指令,即可将Volatility成功安装
>>> sudo python2 setup.py install
此时,就成功安装了Volatility2工具,可以执行如下指令查看是否安装是成功
>>> sudo python2 vol.py -h
3.Volatility使用方式
Volatility2的使用方法
(1) 获取系统基本信息
>>>python2 vol.py -f ../Target.vmem imageinfo
(2) 列出进程信息
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist
(3) 提取某进程文件内容
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D /
(4) 查看文件目录
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan
(5) 提取某文件内容
>>>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./
(6) 调用mimikatz抓取系统口令
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz
Volatility3的使用方法
(1) 获取系统基本信息
>>>sudo python3 vol.py -f ../Target.vmem windows.info
(2) 列出进程信息
(3) 提取某进程文件内容
>>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump
(4) 查看文件目录
(5) 提取某文件内容(此功能存在问题,待进一步解决!)
相关文章
- Facebook时序预测工具Prophet实战分析
- 程序员必备:5个强大的静态代码分析工具
- 内网域渗透分析工具BloodHound
- MySQL系列-高级-性能分析工具-EXPLAIN
- 性能分析工具—【perf】使用指南
- 2022年比较常用的8款WiFi分析工具有哪些?
- MyBatisPlus 代码生成工具
- 单细胞分析工具--ECAUGT提取hECA数据
- 设计一款可扩展和基于windows系统的一键处理表格小工具思路
- Linux Shell工具篇 - 文本分析工具awk
- 【Android 逆向】逆向修改游戏应用 ( APK 解析工具 | 解包 -> 分析 -> 重打包 -> 签名 流程 )
- 【CSS】盒子模型内边距 ③ ( 盒子模型内边距案例 | 使用 Fireworks 分析网页 | 缩放图片 | 切片工具测量图片 | 吸管工具获取图片颜色 | 代码示例 )
- MySQL常用慢查询分析工具详解
- Linux下的代码分析工具:提升编程效率(代码分析工具linux)
- 从MySQL搬家更简单——利用数据搬家工具(mysql数据搬家)
- Maximizing Efficiency: How to Optimize Your Workflow with SSH Linux Tools(sshlinux工具)
- 一款视频,文档,归档文件恢复工具。
- Linux下的抓包分析工具:揭示网络的一切(linux 抓包程序)
- MSSQL维护,保证数据安全的动力所在(mssql 维护工具)
- MSSQL:利用连接工具实现数据库连接(mssql的连接工具)
- IE性能分析工具(asp.net环境)