01
抓取内存dump
Dump?件是进程的内存镜像。可以把程序的执?状态通过调试器保存到dump?件中。Dump?件是
?来给驱动程序编写?员调试驱动程序?的,这种?件必须?专??具软件打开,?如使?WinDbg打
开。
02
volatility?具的使?
Volatility是?款?常强?的内存取证?具,它是由来?全世界的数百位知名安全专家合作开发的?套
?具, 可以?于windows,linux,mac osx,android等系统内存取证。Volatility是?款开源内存取证框架,
能够对导出的内存镜像进?分析,通过获取内核数据结构,使?插件获取内存的详细情况以及系统的运
?状态。由python编写成,命令?操作,?持各种操作系统。
Linux安装:
https://www.cnblogs.com/yunqian2017/p/14769955.html
基本格式
volatility -f <内存镜像> -–profile=<摘要信息> <插件> [插件参数]
通过 volatility --info 获取?具所?持的profile,Address Spaces,Scanner Checks,
Plugins
获取内存镜像的摘要信息
volatility.exe -f <内存镜像> imageinfo
03
常?插件及使?
kdbgscan和imageinfo:显示?标镜像的摘要信息,知道镜像的操作系统后,就可以在 –profile 中带上对应的操作系统,通常只适?于windows镜像pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以psscan:可以找到先前已终?(不活动)的进程以及被rootkit隐藏或解链的进程pstree:以树的形式查看进程列表,和pslist?样,也?法检测隐藏或解链的进程mendump:提取进程在内存中的信息,常?foremost 来分离??的?件procdump:提取进程的可执??件filescan:扫描所有的?件列表hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM ?件内容svcscan:扫描 Windows 的服务connscan:查看?络连接hivelist: 内存中的注册表cmdline:命令历史记录netscan:查看?络连接dlllist:查看dll?件,注意要指定进程idscreenshot: 提取屏幕截图editbox:显示下编辑控件的信息iehistory:查看浏览器进程的插件clipboard:查看剪切板的信息mftparser:恢复被删除的?件
导出?件
volatility -f <内存镜像> --profile=<配置?件> -p 120 memdump -D <导出位置> #导出进程为120的?件到指定?录#注意:导出来后需要?foremost和binwalk提取其中的?件 1、提取截图?件: volatility -f wuliao.data --profile=Win7SP1x64 screenshot --dumpdir=./2、查看系统?户名 volatility -f wuliao.data --profile=Win7SP1x64 printkey -K"SAM\Domains\Account\Users\Names"3、根据offset导出?件: volatility -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q0x000000002408c460 -D ./
图像化程序使?
链接:https://pan.baidu.com/s/149zaQifiThthK1-k9NY4iA提取码:skbs
1、获取镜像?件的摘要信息
2、指定内存镜像和对应摘要
04
Windows内存取证
内存取证-volatility工具的使用
https://blog.csdn.net/u014029795/article/details/116628984
查找?户名密码信息
volatility -f 1.vmem --profile=Win7SP1x64 hashdum
查看进程
volatility -f 1.vmem --profile=Win7SP1x64 pslist
查看服务
volatility -f 1.vmem --profile=Win7SP1x64 svcscan
查看浏览器历史记录
volatility -f 1.vmem --profile=Win7SP1x64 iehistory
查看?络连接
volatility -f 1.vmem --profile=Win7SP1x64 netscan
查看命令?操作
volatility -f 1.vmem --profile=Win7SP1x64 cmdscan
查看?件
volatility -f 1.vmem --profile=Win7SP1x64 filescan
查看?件内容
volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./
查看当前展示的notepad内容
volatility -f 1.vmem --profile=Win7SP1x64 notepad (windowsxp可?)
查看屏幕截图
volatility -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./
提取进程
volatility -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./
查看注册表单元
volatility -f 1.vmem --profile=Win7SP1x64 hivelist
查看注册表键名
volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a001032410
查看注册表键值
volatility -f 1.vmem --profile=Win7SP1x64 printkey -K "xxxxxxx"
查看运?程序相关的记录
volatility -f 1.vmem --profile=Win7SP1x64 userassist
查看最?进程提取信息
volatility -f 1.vmem --profile=Win7SP1x64 timeliner
参考链接:
https://blog.csdn.net/u014029795/article/details/116628984https://blog.csdn.net/weixin_42742658/article/details/106819187https://blog.csdn.net/weixin_42582241/article/details/104833803
如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。
很赞哦! (119)
网盾网络安全培训学校,课程内容紧跟互联网安全技术发展与企业实际用人需求,不断升级更新。
学员可以深入接触web安全基础、漏洞分析、安全测试、渗透测试等全栈解决方案,掌握网络安全分析及解决方案,成长为真正的网络安全人才。