搜索历史

清空

搜索热词

0

聊天消息
系统消息
评论与回复

查看更多

查看更多

查看更多

VIP于到期续费

登录后你可以

下载海量资料
学习在线课程
观看技术视频
写文章/发帖/加入社区

会员中心

创作中心

发布

创作活动

完善资料让更多小伙伴认识你，还能领取20积分哦，立即完善>

3天内不再提示

内存取证之Volatility从0到1编程设计

下载安装

官网下载即可：

https://www.volatilityfoundation.org/releases网址

Windows环境下下载软件包

直接输入CMD打开使用（简单方便）

真题操练

只需将镜像拖入

判断未知内存镜像系统版本信息

volatility -f 文件路径 imageinfo

kali下解析

命令：pslist/pstree/psscan :非常有用的插件，列出转储时运行的进程的详细信息；显示过程ID，该父进程ID（PPID），线程的数目，把手的数目，日期时间时，过程开始和退出

pslist无法显示隐藏/终止进程

导出

volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

任何数据都可以导出，然后进行使用

比如：导出“查看服务（svcscan）”的数据

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

Kali下

命令：hivelist：查看缓存在内存的注册表

命令：hashdump:获取内存中的系统密码

volatility -f bb.raw --profile=Win7SP1x86_23418hashdump

命令：getsids：查看SID

volatility -f bb.raw --profile=Win7SP1x86_23418 getsids

计算机名称

导出注册表

发现SYSTEM是注册表信息，用WRR打开

注册表内USB

借鉴//www.doc88.com/p-9107655008710.html?r=1

打印机在注册表中的位置

HKEY_LOCAL_MACHINESOFTWAREMic rosoftPrintComponents 默认浏览器注册表

命令：查看浏览器历史记录

volatility -f D:电子取证备赛memdump.mem--profile=Win7SP1x86_23418

Kali下

命令：查看服务 svcscan

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418svcscan

建议导出查看，数据量大

命令：查看运行程序相关的记录，比如最后一次更新时间，运行过的次数等 userassist

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 userassist

命令：查看网络连接 volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 netscan

命令：查看文件 volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 filescan

建议导出查看，数据量大

命令：获取SAM表中的用户

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 printkey

编辑：黄飞

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

内存

内存

+关注

关注
8

文章
2979

浏览量
73824
编程

编程

+关注

关注
88

文章
3571

浏览量
93544

原文标题：内存取证之Volatility从0到1

文章出处：【微信号：哆啦安全，微信公众号：哆啦安全】欢迎添加关注！文章转载请注明出处。

评论

相关推荐

Windows内存取证知识浅析-上篇

一名员工报告说，他的机器在收到一封可疑的安全更新电子邮件后开始出现奇怪的行为。事件响应团队从可疑计算机中捕获了几个内存转储，以供进一步检查。分析转储并帮助 SOC 分析师团队弄清楚发生了什么！

的头像

发表于 11-29 09:28 •810次阅读

Windows<b class='flag-5'>内存取证</b>知识浅析-上篇

SoPC目标板Flash编程设计的创建及应用介绍

Target选项区域的Board下拉列表框中选择用户使用的目标板F1ash编程设计。基于实际设计需求，详细介绍SoPC目标板Flash编程设计的创建，并以一个最小SoPC系统为例，说明目标板Flash

发表于 07-29 06:58

怎么实现SoPC目标板Flash编程设计的创建？

怎么实现SoPC目标板Flash编程设计的创建？目标板Flash编程设计在实际Flash编程中的应用

发表于 04-30 07:06

C嵌入式编程设计模式.part3

C嵌入式编程设计模式电子书，第三部分的内容。

发表于 05-20 17:01 •0次下载

C嵌入式编程设计模式.part1

C嵌入式编程设计模式电子书，第1部分的内容。

发表于 05-20 17:01 •0次下载

C嵌入式编程设计模式.part2

C嵌入式编程设计模式电子书，第2部分的内容。

发表于 05-20 17:01 •0次下载

SLPC可编程调节器的编程设计与操作

SLPC可编程调节器的编程设计与操作

发表于 12-11 23:15 •0次下载

一个arm的接口编程设计

一个arm的接口编程设计

发表于 10-24 09:22 •10次下载

一个arm的接口<b class='flag-5'>编程设计</b>

内存取证的内核完整性度量方法

额外的硬件使得系统成本较高；基于Hypervisor的内核完整性度量方法，应用复杂的VMM带来的系统性能损失较大．针对现有方法存在的不足，提出了基于内存取证的内核完整性度量方法KIMBMF．该方法采用内存取证分析技术提取静态和动态度量对象

发表于 01-10 14:52 •2次下载

从0到1了解精品工业连接器应用

教你从0到1了解精品工业连接器应用

的头像

发表于 03-07 16:02 •2066次阅读

数字IC设计之“数字SOC全流程漫谈从0到1”

数字IC设计之“数字SOC全流程漫谈从0到1”讲师背景：阎如斌老师毕业于慕尼黑工业大学的硕士研究生，具有非常丰富的IC研发经验。在集成电路的

发表于 11-05 20:51 •15次下载

数字IC设计<b class='flag-5'>之</b>“数字SOC全流程漫谈<b class='flag-5'>从</b><b class='flag-5'>0</b><b class='flag-5'>到</b><b class='flag-5'>1</b>”

笔记：四旋翼无人机从0到1的实现，目录链接

0.1>0保持学习，每天都在进步，没有人，在年少时想成为一个普通人，四旋翼无人机从0到1的实现（一）无人机功能设计四旋翼无人机

发表于 12-09 17:06 •37次下载

笔记：四旋翼无人机<b class='flag-5'>从</b><b class='flag-5'>0</b><b class='flag-5'>到</b><b class='flag-5'>1</b>的实现，目录链接

Volatility取证大杀器

Volatility是一款开源的内存取证软件，支持Windows、Mac、linux（kali下等等）环境下使用。并且分别有Volatility2与Volatility3两个大版本，依

的头像

发表于 10-28 11:19 •3106次阅读

初识内存取证-volatility与Easy_dump

Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。

的头像

发表于 03-01 13:39 •3085次阅读

虹科分享 | 关于内存取证你应该知道的那些事

，用于从计算机的RAM（随机存取存储器）或其他设备的内存中提取关键信息，以便了解设备在特定时间点的状态和活动。内存取证的主要目的？内存取证的

的头像

发表于 08-01 11:21 •1487次阅读

虹科分享 | 关于<b class='flag-5'>内存取证</b>你应该知道的那些事