概述
volatility2入门
入门Labs: https://github.com/stuxnet999/MemLabs (需要魔法上网)
安装方法
下载 Download the Volatility 2.6 Linux Standalone Executables (x64),将其standalone文件改名后挂载到系统变量(或者直接丢到sbin文件里)
常用的命令
- 查看dump或者raw的操作系统类型
volatility -f target.raw imageinfo
-
查看进程
volatility -f target.raw --profile Win7SP1x64 pslist volatility -f target.raw --profile Win7SP1x64 pstree # 可疑软件列表 ## 1. KeePass ## 2. Chrome ## 3. mspaint ## 4. notepad # 进程转储到一个可执行的文件 volatility -f target.raw --profile Win7SP1x64 procdump -p PID -D ./ -
命令行相关
# 查看执行命令行的历史记录 volatility -f target.raw --profile Win7SP1x64 cmdscan volatility -f target.raw --profile Win7SP1x64 consoles # 查看进程的命令行参数 volatility -f target.raw --profile Win7SP1x64 cmdline -
获取内存中的系统密码
volatility -f target.raw --profile Win7SP1x64 hashdump -
获取浏览记录
volatility -f target.raw --profile Win7SP1x64 iehistory ## 对于chrome的历史记录 可以用chromehistory 也可以查找History这个文件用数据库打开 -
提取文件对象池信息
volatility -f target.raw --profile Win7SP1x64 filescan # 提取文件 volatility -f target.raw --profile Win7SP1x64 dumpfiles -Q $OFFSET -D ./ -
查看环境变量
volatility -f target.raw --profile Win7SP1x64 envars -
涉及到删除信息查看MFT表
volatility -f MemoryDump_Lab4.raw --profile Win7SP1x64 mftparser > mft.txt
最后
以上就是要减肥毛衣为你收集整理的Misc-内存取证的全部内容,希望文章能够帮你解决Misc-内存取证所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
![BUUCTF: [V&N2020 公开赛]内存取证](/uploads/reation/bcimg12.png)
发表评论 取消回复