文章参考
volatility报错解决以及ctf靶场系列-ctf4_哔哩哔哩_bilibili佬儿还附带了安装包和报错解决办法(真的太棒了)
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证-CSDN博客这个佬儿的命令比较全,放一下,下面的常见命令是我学到的,会更新一下
安装教程
把佬儿的压缩包解压一下,进入distorm3-master目录
bash
#编译
python2 setup.py install再换到volatility-master目录,再运行
bash
#编译
python2 setup.py installok完了,就这么简单
常用命令
查看镜像基本信息
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' imageinfo
#''中间是镜像路径查看镜像用户
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"提取用户账户的哈希值
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 hashdump提取 LSA(Local Security Authority,本地安全机构)相关的敏感信息
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 lsadump另外,
- hashdump 主要从注册表的 SAM 和 SYSTEM hive 中提取本地用户哈希。
- lsadump 直接从 LSA 进程(lsass.exe)的内存中提取数据,可能包含更多类型的凭据(尤其是域环境或服务账户的凭据.
提取内存中记录的网络连接、开放端口、网络适配器等信息
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 netscan查询注册表
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 hivelist获得当前系统浏览器的历史记录
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 iehistory查询进程 ID(PID)为 2588 的具体进程信息
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 pslist -p 2588查询服务名称,找到对应服务名
bash
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 svcscan还在更新......