取证工具volatility
Volatility是一个开源内存取证框架,用于分析导出的内存镜像,获取内核数据结构,并使用插件获取内存详细信息和系统运行状况。 特点:
开源:用Python编写,易于与基于Python的主机防御框架集成。
支持多平台: Windows、Mac和Linux完全支持
易于扩展:通过插件扩展Volatility的分析能力
工具帮助
将. raw转储文件从u磁盘复制到桌面,并授予打开和查看终端的权限,chmod x 7.raw授予执行读写的权限,然后查看volatility -h //帮助命令分析内存文件
关注volatility -f 7.raw imageinfo//文件信息、profile,输出有关转储文件系统的信息。 如果得到转储文件但不知道其系统信息,则可以使用该命令进行判断。 它向你输出最有可能的系统版本信息。 我不在这里判断。 转储文件的系统是win7SP1 x 64 volatility-F7.raw-- profile=win7SP1 x64 pslist//view列表进程和物理内存的位置,图中的offset(v )偏移量Name表进程的程序名称; PID(processid ):PID是在程序被操作系统加载到内存中成为进程后动态分配的资源。 每次运行程序时都会重新加载操作系统,每次加载PID时都会不同。 PID(parentprocessid ) :PPID是程序的父进程号。 Thds表示线程数。 start指示进程开始运行的时间。 volatility-F7.raw-- profile=win7SP1 x64 mem dump-p364-DMEM//dump将内存存储在我当前的系统目录文件夹中。 请事先创建此处的目录文件夹。 如果不创建,将报告错误。 -p指定PID。 -指定d目录文件夹。 查看hexeditor364.DMP//dump文件的内容
查看strings364.DMP//DMP文件中的字符
strings 364.dmp | grep password //提取字符串grep password
可以查看volatility-F7.raw-- profile=win7SP1 x64 pstree//父子进程
volatility-F7.raw-- profile=win7SP1 x64 hive list//检查计算机蜂巢注册表中的数据库文件
volatility-F7.raw-- profile=win7SP1 x64 hive dump-o0x fffff8a 0008 c 8010//按虚拟内存地址显示注册表内容
volatility-F7.raw-- profile=win7SP1 x64 printkey -
k“Samdomainsaccountusersnames”
//查看用户帐户
volatility-F7.raw-- profile=win7SP1 x64 printkey-k
“软件 Microsoftwindows ntcurrent versionwinlogon”
//查看上次登录的帐户
volatility-F7.raw-- profile=win7SP1 x64用户辅助//正在运行的程序,运行了多少次,上次运行的时间
volatility-F7.raw-- profile=win7SP1 x64 hive list//提取HASH
volatility-F7.raw-- profile=win7SP1 x64 hash dump-y system-ssam
volatility-F7.raw-- profile=win7SP1 x64 cmdscan//命令行历史记录
volatility-F7.raw-- profile=win7SP1 x64 netscan///网络连接
volatility-F7.raw-- profile=win7SP1 x64 ie history//网页历史信息以上是volatility附带的插件。 了解如何自行安装和使用插件
电压增益集外挂程式
Firefox历史插件
3358 downloads.volatility foundation.org/contest/2014/Dave la salle _ forensic suite.zip//下载地址
/usr/lib/python 2.7/dist-packages/volatility/plugins//导航到此目录下
volatility-F7.raw-- profile=win7SP1 x64 Firefox history//使用此插件
Timeline插件
volatility-F7.raw-- profile=win7SP1 x64 timeliner
从多个位置收集大量系统活动信息
USN日志插件
跟踪硬盘内容的变化- NTFS功能。 不记录具体变更内容)
https://raw.github user content.com/Tom Spencer/volatility/master/usn parser /
usnparser.py
volatility-F7.raw---profile=win7SP1 x64 usn parser---- output=CSV---- output -
file=usn.csv
内存取证发现恶意软件
https://github.com/volatility foundation/volatility/wiki/memory-samples
https://code.Google.com/archive/p/volatility/wikis /
SampleMemoryImages.wiki
内存取证发现恶意软件
XP建立元数据会话后进行dump内存分析
volatility-fxp.raw-- profile=win7SP1 x64 pstree
volatilityconnscan网络连接
volatilitygetsids-p111,222 # sid
volatilitydllist-p111,222 #数量
volatilitymalfind-p111,222-DMEM/#检测结果的病毒检测
备注:上面介绍的有点粗略,对电子取证感兴趣的朋友可以深入研究,欢迎探讨! 谢谢你转发我的跟进!