volatility取证

admin管理员组

文章数量:1648973

前言

volatility是一款开源的内存取证分析工具，由python编写，支持各种操作系统，能够对导出的windows,linux,mac osx,android等系统内存镜像进行分析。可以通过插件来拓展功能。

私信助安社区公众号发送 取证 领取相关文件工具

常见命令

命令格式：

volatility -f [镜像文件] --profile=[操作系统] [插件参数]

volatility -f 文件名 imageinfo  		     	 得到镜像的基本信息。
volatility -f 文件名 --profile=系统 pslist		查看进程信息
volatility -f 文件名 --profile=系统 pstree	    查看进程树
volatility -f 文件名 --profile=系统 hashdump		查看用户名密码信息
volatility -f 文件名 --profile=系统 john			爆破密码
volatility -f 文件名 --profile=系统 lsadump		查看用户强密码
volatility -f 文件名 --profile=系统 svcscan		查看服务
volatility -f 文件名 --profile=系统 iehistory	查看IE浏览器历史记录
volatility -f 文件名 --profile=系统 netscan		查看网络连接
volatility -f 文件名 --profile=系统 cmdscan		cmd历史命令
volatility -f 文件名 --profile=系统 consoles		命令历史记录
volatility -f 文件名 --profile=系统 cmdline		查看cmd输出， 获取命令行下运行的程序   
volatility -f 文件名 --profile=系统 envars 		查看环境变量，一般很多配合grep筛选，可也是使用-p指定pid
volatility -f 文件名 --profile=系统 filescan		查看文件
volatility -f 文件名 --profile=系统 notepad		查看当前展示的notepad内容
volatility -f 文件名 --profile=系统 hivelist		查看注册表配置单元
volatility -f 文件名 --profile=系统 userassist	查看运行程序相关的记录，比如最后一次更新时间，运行过的次数等。
volatility -f 文件名 --profile=系统 clipboard  	查看剪贴板的信息
volatility -f 文件名 --profile=系统 timeliner	最大程序提取信息
volatility -f 文件名 --profile=系统 Dumpregistry	提取日志文件
volatility -f 文件名 --profile=系统 dlllist		进程相关的dll文件列表 
volatility -f 文件名 --profile=系统 memdump -p xxx --dump-dir=./ 	提取进程
volatility -f 文件名 --profile&

本文标签： Volatility