取證分析 | Volatility工具使用

2022-01-29 betasec

聲明:本人堅決反對利用文章內容進行惡意攻擊行為,一切錯誤行為必將受到懲罰,綠色網絡需要靠我們共同維護,推薦大家在了解技術原理的前提下,更好的維護個人信息安全、企業安全、國家安全。


Volatility是一款開源的內存取證分析工具,支持Windows,Linux,MaC,Android等多類型作業系統系統的內存取證方式。該工具是由python開發的,目前支持python2、python3環境。接下來小編將帶領大家學習Volatility工具的安裝及使用。

工具下載地址:https://github.com/volatilityfoundation

2.Volatility安裝方式

目前作者已公布了兩個版本的Volatility,Volatility2是基於py2環境,Volatility3是基於py3環境,接下來小編將帶領大家分別對這兩個環境進行安裝。

(1)Volatility3環境的安裝

首先請確保系統中已安裝python3環境,安裝pycrypto庫函數

進入到Volatility目錄,執行如下指令,即可將Volatility成功安裝

>>> sudo python3 setup.py install
此時,就成功安裝了Volatility3工具,可以執行如下指令查看是否安裝是成功
>>> sudo python3 vol.py -h
(2)Volatility2環境的安裝
首先請確保系統中已安裝python2環境,安裝pycrypto庫函數
首先通過網站下載pycrypto安裝包:https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/
注意:如果遇到報錯可嘗試執行如下命令,解決問題:
>>> sudo apt-get install python-dev>>> sudo pip install setuptools進入到Volatility目錄,執行如下指令,即可將Volatility成功安裝>>> sudo python2 setup.py install
此時,就成功安裝了Volatility2工具,可以執行如下指令查看是否安裝是成功
>>> sudo python2 vol.py -h
3.Volatility使用方式
   Volatility2的使用方法
(1) 獲取系統基本信息
>>>python2 vol.py -f ../Target.vmem imageinfo
(2) 列出進程信息
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist
(3) 提取某進程文件內容
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D /
(4) 查看文件目錄
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan
(5) 提取某文件內容
>>>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./
(6) 調用mimikatz抓取系統口令
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz
  Volatility3的使用方法
(1) 獲取系統基本信息
>>>sudo python3 vol.py -f ../Target.vmem windows.info
(2) 列出進程信息
(3) 提取某進程文件內容
>>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump
(4) 查看文件目錄
(5) 提取某文件內容(此功能存在問題,待進一步解決!)
【推薦書籍】

相關焦點

  • 【Volatility】取證實戰
    ,我也好好學習了Volatility這個神器,一個開源的Windows,Linux,MaC,Android的內存取證分析工具,由python編寫成,命令行操作,支持各種作業系統。這次講的是在linux下的取證,所以我安裝的也是linux平臺下的Volatility。在https://code.google.com/archive/p/volatility/下載原始碼,或者使用我分享的源碼,http://pan.baidu.com/s/1o8JOQV4版本是2.6linux下可以直接使用。如圖:
  • 【Linux內存分析工具】Volatility
    Volatility是一個開源的Windows,Linux,Mac,Android的內存取證分析工具
  • Volatility內存分析工具-某即時通訊軟體Windows端資料庫密鑰的分析
    Volatility是一款開源內存取證框架,能夠對導出的內存鏡像進行分析,通過獲取內核數據結構,使用插件獲取內存的詳細情況以及系統的運行狀態。分析內存鏡像並判斷適用的配置文件(profile)     命令:volatility.exe –f memdump.mem imageinfo
  • Volatility-內存取證工具使用(1)
    /releases2.配置安裝目錄unzip -d /usr/local/volatility volatility_2.6_lin64_standalone.zipcd /usr/local/volatilitymv volatility_2.6_lin64_standalone volatility
  • 圖形化內存分析工具volatility workbench
    下半年來了,離美亞杯開賽的日子也不遠了,大家都懂的,每年都有內存分析題目。
  • 實例講解基於Volatility的內存分析技術Part 1
    由於攻擊者可以開發只駐留在內存中而不在硬碟落地的惡意軟體,從而使標準的計算機取證方法幾乎看不到它。這使得內存取證工具變得愈發重要。Volatility是一個先進的內存取證框架。它為調查人員提供了許多自動工具,人們可以利用其先進的內存分析技術揭示主機上的惡意活動。需要指出的是,該框架是用python實現的,而且是開源的。
  • Volatility學習筆記一:使用手冊
    0x00 概述Volatility是一款開源內存取證框架,能夠對導出的內存鏡像進行分析,通過獲取內核數據結構
  • 藍隊安全 : 內存取證(下-分析內存)
    前言隨著網絡攻擊和網絡犯罪技術的發展,內存取證作為計算機取證研究的重要分支,對於獲取、分析內存數據、提取網絡攻擊和網絡犯罪證據、重構網絡攻擊和網絡犯罪場景具有重要理論價值和實用價值.在我們的上一篇 藍隊安全 : 內存取證(上-獲得內存) 中我們講解並實戰了在不同系統平臺下獲得內存的方法,本次我們就著手分析 dump 出來的內存文件,在實戰中進一步的學習內存取證的知識點.VolatilityVolatility,作為內存取證最為常用的工具,是必須要掌握的。
  • 【Windows內存取證】
    天鑑計算機取證分析系統支持內存取證功能,包含系統信息、系統痕跡、文件信息、即時通訊、上網記錄等多種痕跡解析。 Volatility內存取證軟體是一款開源的內存分析工具,支持各種作業系統,採用命令行的方式分析內存鏡像。下面就介紹常用的指令來分析內存。1.
  • 全球七大頂尖網絡取證工具
    除非被什麼外部人士操縱,否則網絡/計算機取證的唯一目的,就是搜索、保存並分析從受害設備上獲取到的信息,並將這些信息用作證據。於是,這些計算機取證專業人士都用的是什麼工具呢?信息安全研究所給我們列出了一張單子,內含7種常用工具,並附有簡要描述及主要功能介紹。1.
  • 【內存取證 】Volatility基本用法
    收錄於話題 #滲透工具學習大佬的然後我們換一個就可以看到md5的密碼隨後用暴力破解就可以了
  • 內存取證與應用
    在計算機取證時,遇到裝有虛擬機的情況,可以針對vmem文件進行分析,方可獲取該系統打快照或者掛起時的內存數據信息。針對於Linux\Mac OS 下內存的獲取方法相對簡單一些,/dev/mem 是作業系統提供的一個對物理內存的映射。「/dev/mem」是linux系統的一個虛擬字符設備,無論是標準linux系統還是嵌入式linux系統,都支持該設備。首先使
  • 淺談內存取證
    .內存取證作為傳統文件系統取證的重要補充,是計算機取證科學的重要組成部分,通過全面獲取內存數據、詳盡分析內存數據,並在此基礎上提取與網絡攻擊或網絡犯罪相關的數字證據,近年來,內存取證已贏得安全社區的持續關注,獲得了長足的發展與廣泛應用,在網絡應急響應和網絡犯罪調查中發揮著不可替代的作用.首先回顧了內存取證研究的起源和發展演化過程;其次介紹了作業系統內存管理關鍵機制;然後探討了內存取證的數據獲取和分析方法
  • 電子取證(Forensics)-Windows取證基礎
    取證的分類活取證死取證獲取內存工具在活取證中,可以使用內存dump工具,將被入侵的機器的內存保存下來,其中在Windows中經常使用的工具是DumpitDumpIt 是一款綠色免安裝的 windows 內存鏡像取證工具。
  • 【取證小知識-1】
    取證雜談取證小知識-1針對Windows10的取證分析,一定要考慮到大版本更新的問題。取證小知識-3雲取證的概念現在越來越火,越來越多的取證公司推出了雲取證產品。但實際上並非所有的雲取證都需要專業的付費工具才能展開。
  • 黑客Windows取證基礎!
    取證的分類活取證死取證獲取內存工具在活取證中,可以使用內存dump工具,將被入侵的機器的內存保存下來,其中在Windows中經常使用的工具是DumpitDumpIt 是一款綠色免安裝的 windows 內存鏡像取證工具。
  • 推薦一波超好用的電子取證工具!
    每個安全團隊都應該儲備電子取證工具,本文推薦的工具中很多都是免費的。所有成功的數字取證項目都離不開一套靠譜的工具包。儘管每個企業的工具包需求各不相同,但有一些類別是所有取證工具套件中通用的。如何選擇適合自身的需求的工具是一件讓人頭疼的事情。我們把這些工具分為五大類:整體分析套件、磁碟映像工具、網絡分析工具、電子發現工具以及電子郵件與行動裝置分析的專用工具。
  • 安全藍隊 : 內存取證(上-獲得內存)
    藍隊安全 : 內存取證(獲得內存)前言內存取證一般指對計算機及相關智能設備運行時的物理內存中存儲的臨時數據進行獲取與分析,提取重要信息。在主機存活時發現系統被入侵, 然後直接把機器的運行內存 dump 下來,對運行內存進行分析,還原一些進程的中的信息。
  • Volatility 3 Public Beta 發布,不再需要 --profile!
    第十屆年度開源數字取證大會(OSDFCon)於2019年10月15日至17日在美國的Herndon,VA(維吉尼亞州,赫恩登)舉行
  • 使用開源工具進行 Linux 內存取證 | Linux 中國
    計算機的作業系統和應用使用主內存(RAM)來執行不同的任務。這種易失性內存包含大量關於運行應用、網絡連接、內核模塊、打開的文件以及幾乎所有其他的內容信息,但這些信息每次計算機重啟的時候都會被清除。內存取證(Memory forensics)是一種從內存中找到和抽取這些有價值的信息的方式。Volatility 是一種使用插件來處理這類信息的開源工具。