介绍
CialloVOL 1.2 是一款基于 Volatility 3 架构研发的轻量化内存取证分析平台,兼容全量物理内存镜像与进程 MiniDump 转储载体。依托双引擎解析架构,实现异构内存样本的自适应识别与模块化解析,为终端内存取证、恶意代码溯源提供专业化技术支撑。
该工具集成进程枚举、网络轨迹溯源、内存载体提取、字符串静态挖掘等多维取证能力,搭载智能兼容降级机制与标准化数据归一化处理。依托可视化交互架构与异常语义转译模块,消解原生工具适配壁垒,兼顾取证严谨性与实操分析效能。
经过多轮优化后,无需安装或单独配置文件,点开即用,功能强大,根据实际使用体验完善了多处细节,优化使用体验
用户端展示及使用说明
用户端解压后如下图
已经配置好了各种依赖并打包好了vol3,若用户电脑上已配置过vol3,工具也自带自动查找功能,也可以手动配置:
按照使用说明中的方法获取授权文件,放置于同一目录后,双击CialloVOL.exe即可运行
功能介绍与使用演示
一、本机内存采集
本机内存采集:
上下两部分分别会在选择"选择进程转储""高级采集"时出现,便于用户从本机采集文件进行训练或分析。考虑到采集整机内存这一行为的风险与实用性,只提供这部分工具的加载选项与配置引导,由用户自行在需要的时候加载。
转储成功界面演示:
二、镜像加载
选择文件加载后,工具会自动分析出文件信息以及提供文件内容查看(下滑即能看到):
还提供自定义文件名与后缀的导出功能:
三、进程扫描
加载进程/镜像后,可以运用进程分析功能扫描并列出进程/提取镜像中的进程:
dmp进程扫描示例:
内存镜像进程扫描示例:
四、进程分析
扫描进程后可以选择进程进行分析,对于进程列表长的场景还提供了进程检索、选择、批量分析的功能
分析后会展示,进程基本信息:
进程加载的模块/DLL
进程内存字符串
进程行为时间线
并全部提供CSV导出功能和检索模块
五、网络扫描
工具还提供网络扫描功能还原系统网络连接、突破日志删除限制:
并提供CSV文件导出功能和连接检索功能便于分析
六、文件扫描
加载进程/镜像后,可以运用文件扫描功能解析内存里的文件对象(FILE_OBJECT 结构),列出系统中被进程打开、加载过的所有文件
考虑到有的文件内容已被换页到磁盘不在内存中,这部分文件会显示提取失败,挨个分辨又会加大工作量,工具会自动检测哪些文件数据仍在内存中,哪些已被换页到磁盘
工具也提供选择文件选择-批量提取的功能以及CSV导出、文件检索功能,对于提取失败的每一个文件都会在下方展示失败原因供用户分析
七、功能扩展
工具还提供了各类比赛等场景中可能用到的功能,如JSON 提取,编码/解码,加密/解密,端口扫描,数据对比,并将在后续更新中持续优化。
八、进程残留解决
为解决旧版本应用关闭后进程残留问题,应用启动后,可以在系统托盘图示图标中右键打开浏览器工具界面或彻底退出CialloVOL
当然也可以从设置的退出选项中退出
获取途径
github链接:
https://github.com/KivenMit/CialloVOL