内存取证-volatility
内存取证-volatility
安装
实测kali 7.x自带,而最新的kali 9.x没有
使用
判断镜像信息,获取操作系统类型
1 | volatility -f ?.img/raw/... imageinfo |
知道操作系统类型后,用--profile指定系统的操作类型
1 | volatility -f ?.img --profile=... |
查看当前显示的notepad文本(提取某个程序)
1 | volatility -f file.raw --profile=WinXPSP2x86 notepad |
查看当前运行的进程
1 | volatility -f file.raw --profile=WinXPSP2x86 psscan/pslist |
扫描所有的文件列表(常常结合grep,即正则)
1 | volatility -f file.raw --profile=WinXPSP2x86 filescan |
根据offset提取出文件
1 | volatility -f file.raw --profile=WinXPSP2x86 dumpfiles -D . -Q 0x..... |
扫描 Windows 的服务
1 | volatility -f file.raw --profile=WinXPSP2x86 svcscan |
查看网络连接
1 | volatility -f file.raw --profile=WinXPSP2x86 connscan |
查看命令行上的操作
1 | volatility -f file.raw --profile=WinXPSP2x86 cmdscan |
根据pid dump出相应的进程
1 | volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2580 -D 目录 |
参考
内存取证工具volatility用法与实战(ps:这个含手动安装)
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 SkYe231 Blog!
