admin管理员组文章数量:1649160
前言
volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统,能够对导出的windows,linux,mac osx,android等系统内存镜像进行分析。可以通过插件来拓展功能。
私信助安社区公众号发送 取证 领取相关文件工具
常见命令
命令格式:
volatility -f [镜像文件] --profile=[操作系统] [插件参数]
volatility -f 文件名 imageinfo 得到镜像的基本信息。
volatility -f 文件名 --profile=系统 pslist 查看进程信息
volatility -f 文件名 --profile=系统 pstree 查看进程树
volatility -f 文件名 --profile=系统 hashdump 查看用户名密码信息
volatility -f 文件名 --profile=系统 john 爆破密码
volatility -f 文件名 --profile=系统 lsadump 查看用户强密码
volatility -f 文件名 --profile=系统 svcscan 查看服务
volatility -f 文件名 --profile=系统 iehistory 查看IE浏览器历史记录
volatility -f 文件名 --profile=系统 netscan 查看网络连接
volatility -f 文件名 --profile=系统 cmdscan cmd历史命令
volatility -f 文件名 --profile=系统 consoles 命令历史记录
volatility -f 文件名 --profile=系统 cmdline 查看cmd输出, 获取命令行下运行的程序
volatility -f 文件名 --profile=系统 envars 查看环境变量,一般很多配合grep筛选,可也是使用-p指定pid
volatility -f 文件名 --profile=系统 filescan 查看文件
volatility -f 文件名 --profile=系统 notepad 查看当前展示的notepad内容
volatility -f 文件名 --profile=系统 hivelist 查看注册表配置单元
volatility -f 文件名 --profile=系统 userassist 查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等。
volatility -f 文件名 --profile=系统 clipboard 查看剪贴板的信息
volatility -f 文件名 --profile=系统 timeliner 最大程序提取信息
volatility -f 文件名 --profile=系统 Dumpregistry 提取日志文件
volatility -f 文件名 --profile=系统 dlllist 进程相关的dll文件列表
volatility -f 文件名 --profile=系统 memdump -p xxx --dump-dir=./ 提取进程
volatility -f 文件名 --profile&
本文标签: Volatility
版权声明:本文标题:volatility取证 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1729491158a1202519.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论