volatility内存取证分析与讲解（持续更新）

0x01 volatility的安装0x02 基本使用0x03 取证实战（持续更新）0x04 总结

本人暂时只使用windows下的volatility进行取证，安装方法如下：
volatility安装网址
进去之后，找到windows版本然后直接下载即可。

直接解压，就能用。

1.volatility_2.6.exe -f .Target.vmem imageinfo
查看镜像的基本信息。使用的时候可以将这个软件和需要取证的镜像放到一起。

volatility 建议当做 Win7SP1x64 的镜像，后面的参数使用–profile(两根横杠)

2.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 pslist
套神上说的，看完镜像直接查看这个镜像上有那些进程正在运行 pslist应该比较好理解就是进程的列表的意思。

tips:
psxview : 可查看一些隐藏进程
pstree : 以树的形式来列出正在进行的进程，不会显示出隐藏或未链接的进程（套神说的）
 
3.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 cmdscan
查看镜像的历史命令，就是和linux中history差不多。

这个镜像好像没有.
 
4.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 consoles
这个会比上面那个更好一些，能看到指令的输入和输出。
 
5.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 cmdline
此指令将会列出所有命令行下运行的程序

6.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 privs
显示进程权限

7.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 envars
显示环境变量

8.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 filescan
9.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 filescan | grep "flag"
10.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 filescan | grep -E “png”
直接扫文件，第二个比较重要，可能要直接找flag文件。

11.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 dumpfiles -Q [PID] -D ./
通过相应的进程能直接dunp出相关的文件。

12.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 editbox
查看系统正在运行的编辑本
 

13.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 dumpregistry --dump-dir=./registry/
导出系统的注册表

14.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 screenshot -D ./
查看并导出屏幕的截屏【需要安装PIL库】

15.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 clipboard
查看剪贴板数据，加一个-v可以导出相关的数据。

16.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 iehistory
查看浏览器的历史记录

17.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 printkey -K "SAMDomainsAccountUsersNames"
查看用户名

18.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 printkey -K "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon"
打印出最后登录的用户

19.volatility_2.6.exe -f .Target.vmem --profile=Win7SP1x64 hashdump
获取各个账号的MD5加密密码，涛神这里是使用hivelist找出获取system 的 virtual 地址，SAM 的 virtual 地址，然后在使用hashdump -y SYSTEM_virtual -x SAM_virtual.

直接hashdump的

这次先更新到这里。