Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。(高等级版本kali现需要自己下载Volatility,依赖于python环境安装)
volatility 使用: 开始准备:volatility -f <文件名>–profile= <配置文件><插件>[插件参数]
获取–profile的参数
使用imageinfo插件来猜测dump文件的profile值:WinXPSP2x8
root@kali:~/quzhen# volatility -f mem.vmem imageinfo
列举进程:root@kali:~/quzhen# volatility -f mem.vmem –profile=WinXPSP2x86 pslist
列举缓存在内存的注册表 :volatility -f mem.vmem –profile=WinXPSP2x86 hivelist
hivedump 打印出注册表中的数据 :volatility -f mem.vmem –profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址
获取SAM表中的用户 :volatility -f mem.vmem –profile=WinXPSP2x86 printkey -K “SAMDomainsAccountUsersNames”
可以看到下图有四个用户
获取最后登录系统的账户 :volatility -f mem.vmem – profile=WinXPSP2x86 printkey -K “SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”
提取出内存中记录的 当时正在运行的程序有 哪些,运行过多少次,最后一次运行的时间等信息。
volatility -f mem.vmem – profile=WinXPSP2x86 userassist
dmp某个进程数据保存:volatility -f mem.vmem –profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]
提取内存中保留的 cmd 命令使用情况:volatility -f mem.vmem –profile=WinXPSP2x86 cmdscan
获取到当时的网络连接:volatility -f mem.vmem –profile=WinXPSP2x86 netscan
获取 IE 浏览器的使用情况:volatility -f mem.vmem –profile=WinXPSP2x86 iehistory
获取内存中的系统密码(使用hashdump提取):volatility -f mem.vmem –profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60
附工具下载地址:https://github.com/volatilityfoundation
