内存取证
volatility 的安装
Volatility 是一款开源的内存取证分析工具,支持 Windows、Linux、Mac、Android 等多类型操作系统系统的内存取证方式。该工具由 python 开发,volatility2 支持 python2、volatility3 支持 python3 环境
- 通过 snap 安装 volatility2
sudo snap install volatility-phocean- 通过 pip 安装 volatility3(需先安装 python3 环境)(推荐)
pip install volatility3- 通过 git 安装 volatility3(需先安装 python3 环境)
Github地址:volatility3
sudo git clone https://github.com/volatilityfoundation/volatility3 /opt/volatility3
cd /opt/volatility3
pip3 install -r requirements.txt
sudo python3 setup.py build
sudo python3 setup.py install
sudo python3 vol.py -h # 验证安装如果使用 pip list 会显示如下信息:
DEPRECATION: Loading egg at /usr/local/lib/python3.11/dist-packages/volatility3-2.7.0-py3.11.egg is deprecated. pip 24.3 will enforce this behaviour change. A possible replacement is to use pip for package installation.. Discussion can be found at https://github.com/pypa/pip/issues/12330是因为刚刚通过编译安装的是 volatility3-2.7.0-py3.11.egg,但在 pip 24.3 不再支持,不过不影响使用
如果强迫症,使用 pip 卸载后重装即可:
pip uninstall volatility3
pip install volatility3volalitily 的使用
常见的取证文件后缀名为:raw、vmem、img、dmg
volatility2 使用
volatility
volatility3 使用vol或者python3 vol.py
获取系统基本信息
首先必须通过此命令获取系统版本信息,如果操作系统错误,是无法正确读取内存信息的
vol -f 文件名 imageinfo查看文件
vol -f 文件名 --profile=系统版本 filescan
vol -f 文件名 --profile=系统版本 filescan | grep xxx
vol -f 文件名 --profile=系统版本 filescan | grep -E 'jpg|png|jpeg|bmp|gif'提取文件
vol -f 文件名 --profile=系统版本 dumpfiles -Q 内存地址 --dump-dir=保存路径列出进程信息
vol -f 文件名 --profile=系统版本 pslist提取进程内容
vol -f 文件名 --profile=系统版本 memdump -p 进程的PID -D 保存路径获取浏览器浏览历史
vol -f 文件名 --profile=系统版本 iehistory获取内存中的注册表
vol -f 文件名 --profile=系统版本 hivelist查看截图
vol -f 文件名 --profile=系统版本 screenshot --dump-dir=保存路径获取 cmd 输入
vol -f 文件名 --profile=系统版本 cmdline查看 cmd 执行的文件
vol -f 文件名 --profile=系统版本 cmdscan提取账户密码
vol -f 文件名 --profile=系统版本 hashpump查看网络连接
vol -f 文件名 --profile=系统版本 netscan
vol -f 文件名 --profile=系统版本 netscan|grep ESTABLISHED # 查看已建立的网络连接查看桌面文件
vol -f 文件名 --profile=系统版本 filescan | grep "Desktop"
微信支付- 支付宝
评论
