其他分享
首页 > 其他分享> > 关于volatility的使用体会

关于volatility的使用体会

作者:互联网

目录

基本介绍

流程

开局操作

后续操作



基本介绍

Volatility是一个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等。

流程

开局操作

对于Volatility的使用,一般来讲,是先用来对内存信息进行获取

命令:volatility -f 这边复制进来你的镜像文件 imageinfo

然后,经过一会的等待,会出来一些关于镜像文件的内存信息。

比如系统版本号;

后续操作

上步,我们获得了系统的版本号,这是比较重要的。假设获得的版本为Win7SP1x64。

以下都是命令介绍。

命令:volatility -f memory --profile=Win7SP1x64 pslist

作用:列出进程

命令:volatility -f memory --profile=Win7SP1x64 cmdscan

作用:查看cmd命令历史

命令:volatility -f memory --profile=Win7SP1x64 filescan | grep flag

作用:查找flag文件


命令:volatility -f memory --profile=Win7SP1x64 dumpfiles -Q 0x000000001e85f430 --dump-dir=./ 

作用:dump目标文件,也就是下载目标文件

命令:volatility -f memory --profile=Win7SP1x64 dumpregistry --dump-dir=/D:/text/

这里得/D:/text/可以自己选个地方,选个空文件夹,用来存放信息

作用:dump目标文件,也就是下载目标文件

命令:volatility -f bb.raw --profile=Win7SP1x86_23418 hashdump

作用:获取内存中的系统密码

命令:volatility -f memory --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

作用:列出SAM表用户

命令:volatility -f memory --profile=Win7SP1x64 hivelist

作用:获取system和SAM地址


 

标签:profile,体会,Win7SP1x64,--,命令,关于,memory,volatility
来源: https://blog.csdn.net/m0_58138734/article/details/120578610