内存取证之Volatility从0到1编程设计

下载安装

官网下载即可：

https://www.volatilityfoundation.org/releases 网址

Windows环境下下载软件包

直接输入CMD打开使用（简单方便）

真题操练

只需将镜像拖入

判断未知内存镜像系统版本信息

volatility -f 文件路径  imageinfo

kali下解析

命令：pslist/pstree/psscan :非常有用的插件，列出转储时运行的进程的详细信息；显示过程ID，该父进程ID（PPID），线程的数目，把手的数目，日期时间时，过程开始和退出

pslist无法显示隐藏/终止进程

导出

volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

任何数据都可以导出，然后进行使用

比如：导出“查看服务（svcscan）”的数据

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

Kali下

命令：hivelist：查看缓存在内存的注册表

命令：hashdump:获取内存中的系统密码

volatility -f bb.raw --profile=Win7SP1x86_23418 hashdump

命令：getsids：查看SID

volatility -f bb.raw --profile=Win7SP1x86_23418 getsids

计算机名称

导出注册表

发现SYSTEM是注册表信息，用WRR打开

注册表内USB

借鉴//www.doc88.com/p-9107655008710.html?r=1

打印机在注册表中的位置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents 默认浏览器 注册表

命令：查看浏览器历史记录  

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 

Kali下

命令：查看服务 svcscan

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 svcscan

建议导出查看，数据量大

命令：查看运行程序相关的记录，比如最后一次更新时间，运行过的次数等 userassist

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 userassist

命令：查看网络连接 volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 netscan

命令：查看文件 volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 filescan

建议导出查看，数据量大

命令：获取SAM表中的用户

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 printkey

编辑：黄飞