Volatility2在kali安装

文章参考

volatility报错解决以及ctf靶场系列-ctf4_哔哩哔哩_bilibili佬儿还附带了安装包和报错解决办法(真的太棒了)

内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证-CSDN博客这个佬儿的命令比较全,放一下,下面的常见命令是我学到的,会更新一下

安装教程

把佬儿的压缩包解压一下,进入distorm3-master目录

bash 复制代码
#编译
python2 setup.py install

再换到volatility-master目录,再运行

bash 复制代码
#编译
python2 setup.py install

ok完了,就这么简单

常用命令

查看镜像基本信息

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' imageinfo
#''中间是镜像路径

查看镜像用户

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

提取用户账户的哈希值

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 hashdump

提取 LSA(Local Security Authority,本地安全机构)相关的敏感信息

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 lsadump

另外,

  • hashdump 主要从注册表的 SAM 和 SYSTEM hive 中提取本地用户哈希。
  • lsadump 直接从 LSA 进程(lsass.exe)的内存中提取数据,可能包含更多类型的凭据(尤其是域环境或服务账户的凭据.

提取内存中记录的网络连接、开放端口、网络适配器等信息

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 netscan

查询注册表

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 hivelist

获得当前系统浏览器的历史记录

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 iehistory

查询进程 ID(PID)为 2588 的具体进程信息

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 pslist -p 2588

查询服务名称,找到对应服务名

bash 复制代码
python2 vol.py -f '/home/kali/桌面/worldskills3.vmem' --profile=Win7SP1x64 svcscan

还在更新......

相关推荐
阿成学长_Cain17 分钟前
Linux telinit 命令详解:运行级别切换|关机重启|系统维护一站式掌握
linux·运维·前端·网络
QXWZ_IA36 分钟前
油气储罐沉降监测用什么技术方案最好?千寻自动化监测+次声波泄漏方案
运维·科技·自动化·能源
NiceCloud喜云1 小时前
Anthropic 一周三连发:Cowork 多端、Fable 5 按需付费、J-space 论文的技术解读
java·服务器·网络·人工智能·ai
qeen872 小时前
【Linux】指令补充与shell的简单介绍
linux·运维·服务器
DLYSB_2 小时前
《从零开始搭建机房轻量化“声光告警”系统:基于 HTTP API 与 TTS 的运维实践》
运维·网络协议·http·报警灯
阿成学长_Cain2 小时前
Linux talk 命令详解:经典终端实时聊天工具,无需图形界面即可对话
linux·运维·前端
一拳一个娘娘腔3 小时前
【后渗透-Linux篇】Linux 提权与逃逸:从 www-data到 root的蜕变
linux·运维·服务器
jieyucx3 小时前
零基础通关:Shell 编程核心语法全景详解
linux·运维·编程·shell
杨运交3 小时前
[045][Crypto模块]设计一个可扩展的加解密框架:策略模式与工厂模式实战
linux·运维·策略模式
shx_wei3 小时前
从函数调用到进程替换:使用 execl、CMake 与 PowerShell 构建一个多可执行程序
linux·c语言·windows·c