目錄
基本介紹
指令總覽
流程
開局操作
後續操作
cmdscan
filescan
dump
hashdump
printkey
pslist
pstree
hivelist
getsids
基本介紹
Volatility是一個開源的驗證架構,這個架構能夠對導出的記憶體鏡像鏡像分析,能過通過擷取核心的資料結構,使用插件擷取記憶體的詳細情況和運作狀态,同時可以直接dump系統檔案,螢幕截圖,檢視程序等。
指令總覽
編輯
編輯
編輯
編輯
流程
開局操作
對于Volatility的使用,一般來講,是先用來對記憶體資訊進行擷取
指令:volatility -f 這邊複制進來你的鏡像檔案 imageinfo
然後,經過一會的等待,會出來一些關于鏡像檔案的記憶體資訊。
比如系統版本号;
在volatility存放檔案當中,輸入cmd,調出指令行。
編輯
然後輸入指令
會出現以下的資訊
關于volatility的使用體會 編輯
後續操作
上步,我們獲得了系統的版本号,這是比較重要的。假設獲得的版本為Win7SP1x64。
假設記憶體鏡像檔案為memory。
以下都是指令介紹。
cmdscan
指令:volatility -f memory --profile=Win7SP1x64 cmdscan
作用:檢視cmd指令曆史
編輯
filescan
指令:volatility -f memory --profile=Win7SP1x64 filescan | grep flag
作用:查找flag檔案
dump
指令:volatility -f memory --profile=Win7SP1x64 dumpfiles -Q 0x000000001e85f430 --dump-dir=./
作用:dump目标檔案,也就是下載下傳目标檔案
指令:volatility -f memory --profile=Win7SP1x64 dumpregistry --dump-dir=/D:/text/
這裡得/D:/text/可以自己選個地方,選個空檔案夾,用來存放資訊
作用:dump目标檔案,也就是下載下傳目标檔案
hashdump
指令:volatility -f memory --profile=Win7SP1x86_23418 hashdump
作用:擷取記憶體中的系統密碼
printkey
指令:volatility -f memory --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
作用:列出SAM表使用者
pslist
Windows使用一個循環的雙連結清單_EPROCESS結構體來跟蹤所有的活動程序;并且,這個清單位于核心中。而Volatility就是利用了這個事實:首先,它會尋找PsActiveProcessHead指針,因為該指針指向核心的_EPROCESS結構體清單的起始位置;之後,Volatility會周遊這個清單,進而找出正在運作的所有程序。
指令:volatility -f coreflood.exe pslist
作用:展示主機上正在運作的所有程序
指令:volatility -f memory --profile=Win7SP1x64 pslist
作用:列出轉儲時運作的程序的詳細資訊
指令:volatility -f memory --profile=Win7SP1x64 pslist >pslist.txt
作用:當内容比較多時候,導出文本進一步分析檢視
pstree
指令:volatility -f memory --profile=Win7SP1x64 pstree
作用:而有時候pslist無法掃描一些隐藏和終止的程序,這時候可以用psscan,passcan是以樹的形式進行掃描展示的。
hivelist
指令:volatility -f memory --profile=Win7SP1x86_23418 hivelist
作用:檢視緩存在記憶體的系統資料庫,擷取system和SAM位址