Volatility-內存取證工具使用(1)

2021-12-24 安全孺子牛
1、部署安裝1.安裝Volatility1.安裝標準包1.下載地址
https://www.volatilityfoundation.org/releases
2.配置安裝目錄
unzip -d /usr/local/volatility volatility_2.6_lin64_standalone.zip
cd /usr/local/volatility
mv volatility_2.6_lin64_standalone volatility
3.配置環境變量
配置完畢後需要重新退出登錄即可
vim /etc/profile

# 添加如下內容
export PATH=/usr/local/volatility:$PATH
2.Centos安裝1.使用git進行克隆
git clone https://github.com/volatilityfoundation/volatility
cd volatility
2.安裝依賴包
yum install python-devel gcc cmake
3.安裝Python2依賴
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
python get-pip.py
pip2 install --upgrade pip
pip2 install setuptools
pip2 install distorm3
pip2 install yara
pip2 install pycrypto
pip2 install pil
pip2 install openpyxl
pip2 install ujson
4.安裝軟體
python setup.py install
5.安裝mimikatz插件
git clone https://github.com/ruokeqx/tool-for-CTF.git
cd tool-for-CTF
cp volatility_plugins/*.py /usr/lib/python2.7/site-packages/volatility-2.6.1-py2.7.egg/volatility/plugins
pip2 install construct
2、測試實例1.獲取admin密碼
內存鏡像下載地址:https://www.aliyundrive.com/s/oyD9Pyk9us9
1.獲取鏡像版本信息
vol.py -f worldskills3.vmem --profile=Win7SP1x64 imageinfo
2.獲取SAM信息
vol.py -f worldskills3.vmem --profile=Win7SP1x64 hashdump
3.使用lasdump獲取信息
查看到flag信息
vol.py -f worldskills3.vmem --profile=Win7SP1x64 lsadump
4.使用mimikatz獲取密碼
vol.py -f worldskills3.vmem --profile=Win7SP1x64 mimikatz
2.獲取IP和主機名1.通過使用netscan查詢IP位址
vol.py -f worldskills3.vmem --profile=Win7SP1x64 netscan
獲取IP位址為:192.168.85.129
2.查詢註冊表信息
vol.py -f worldskills3.vmem --profile=Win7SP1x64 hivelist
3.查詢鍵名
通過hivedump查詢對應鍵名,該速度非常慢,需要等待。
vol.py -f worldskills3.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 | grep ComputerName
4.查詢主機名
vol.py -f worldskills3.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
3.獲取桌面上的flag.txt文件內容1.使用filescan掃描文件
vol.py -f worldskills3.vmem --profile=Win7SP1x64 filescan | grep "flag.txt"
2.爆破文件內容
vol.py -f worldskills3.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f1b6c10 --dump-dir=./
cat file.None.0xfffffa801a879510.dat
4.查看伺服器挖礦地址1.查看網絡連接
vol.py -f worldskills3.vmem --profile=Win7SP1x64 netscan | grep ESTABLISHED
查看已經建立連結的地址為:54.36.109.161,進程ID為:2588
2.查看挖礦服務
vol.py -f worldskills3.vmem --profile=Win7SP1x64 pslist | grep 2588
查看挖礦服務為svchost.exe,查看父進程為3036
3.查看挖礦服務的父進程
vol.py -f worldskills3.vmem --profile=Win7SP1x64 svcscan
4.查看父進程信息
vol.py -f worldskills3.vmem --profile=Win7SP1x64 pslist | grep 3036
5.病毒自我刪除時執行的命令
vol.py -f worldskills3.vmem --profile=Win7SP1x64 memdump -p 3036 --dump-dir=./
提取PID為3036的進程進行導出
6.提權文件
使用hexeditor 對dump文件以16進位方式查看
hexeditor /opt/test/3036.dmp
5.其他1.查看系統用戶列表
vol.py -f worldskills3.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
2.查看最後登錄的用戶
vol.py -f worldskills3.vmem --profile=Win7SP1x64 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
3.查詢CMD歷史命令
vol.py -f worldskills3.vmem --profile=Win7SP1x64 cmdscan
4.查看IE瀏覽器歷史
vol.py -f worldskills3.vmem --profile=Win7SP1x64 iehistory
5.查看父進程和子進程關係
vol.py -f worldskills3.vmem --profile=Win7SP1x64 pstree

相關焦點

  • 取證分析 | Volatility工具使用
    Volatility是一款開源的內存取證分析工具,支持Windows,Linux,MaC,Android等多類型作業系統系統的內存取證方式。該工具是由python開發的,目前支持python2、python3環境。接下來小編將帶領大家學習Volatility工具的安裝及使用。
  • 【Linux內存分析工具】Volatility
    Volatility是一個開源的Windows,Linux,Mac,Android的內存取證分析工具
  • 【Volatility】取證實戰
    ,我也好好學習了Volatility這個神器,一個開源的Windows,Linux,MaC,Android的內存取證分析工具,由python編寫成,命令行操作,支持各種作業系統。這次講的是在linux下的取證,所以我安裝的也是linux平臺下的Volatility。在https://code.google.com/archive/p/volatility/下載原始碼,或者使用我分享的源碼,http://pan.baidu.com/s/1o8JOQV4版本是2.6linux下可以直接使用。如圖:
  • 實例講解基於Volatility的內存分析技術Part 1
    信息安全專業人員可以通過內存取證,來調查和識別那些不會在硬碟驅動器數據中留下痕跡的攻擊或惡意行為。通過內存取證,安全人員可以了解運行時的各種系統活動,例如開放的網絡連接或最近執行的命令和進程等。程序在計算機上運行之前,首先需要被加載到內存中,這使得內存取證變得非常重要——這意味著所有被創建、檢查或刪除的程序或數據都將被保存到RAM中。
  • 【內存取證 】Volatility基本用法
    收錄於話題 #滲透工具然後我們換一個就可以看到md5的密碼隨後用暴力破解就可以了
  • 【Windows內存取證】
    Volatility內存取證軟體是一款開源的內存分析工具,支持各種作業系統,採用命令行的方式分析內存鏡像。下面就介紹常用的指令來分析內存。1.  1. //查看被隱藏的進程,例如某些隱藏的病毒文件 2. volatility.exe -f memory.raw --profile= Win81U1x86 psxview
  • 內存取證與應用
    ,網絡犯罪的手段也變得越來越有技術含量,網絡攻擊在很多手段上,逐漸趨近於內存化,傳統的取證單單從硬碟中分析數據已經很難找到有力的證據了。在計算機取證時,遇到裝有虛擬機的情況,可以針對vmem文件進行分析,方可獲取該系統打快照或者掛起時的內存數據信息。針對於Linux\Mac OS 下內存的獲取方法相對簡單一些,/dev/mem 是作業系統提供的一個對物理內存的映射。「/dev/mem」是linux系統的一個虛擬字符設備,無論是標準linux系統還是嵌入式linux系統,都支持該設備。首先使
  • 淺談內存取證
    .內存取證作為傳統文件系統取證的重要補充,是計算機取證科學的重要組成部分,通過全面獲取內存數據、詳盡分析內存數據,並在此基礎上提取與網絡攻擊或網絡犯罪相關的數字證據,近年來,內存取證已贏得安全社區的持續關注,獲得了長足的發展與廣泛應用,在網絡應急響應和網絡犯罪調查中發揮著不可替代的作用.首先回顧了內存取證研究的起源和發展演化過程;其次介紹了作業系統內存管理關鍵機制;然後探討了內存取證的數據獲取和分析方法
  • 圖形化內存分析工具volatility workbench
    在之前的文章中我們介紹過一款volatility插件volexp,功能著實強大,不過呢,還是需要配置python環境,安裝各種模塊,解決一個又一個的報錯才可以在命令行下啟動,對於懶人來說,還是太傷神。那這次就給大家推薦一款免費的volatility圖形化工具。
  • Volatility內存分析工具-某即時通訊軟體Windows端資料庫密鑰的分析
    這裡解析內存鏡像我們還是用Volatility。Volatility是一款開源內存取證框架,能夠對導出的內存鏡像進行分析,通過獲取內核數據結構,使用插件獲取內存的詳細情況以及系統的運行狀態。踩過的坑和感悟首先是第一個大坑,不知道是不是我搜索的姿勢有誤,但是感覺內存取證方面的資料明顯沒有計算機取證/移動端取證那樣豐富,僅有的資料也有些晦澀難懂。不知是否因為內存取證門檻相對較高?市場上能找到的也就Volatility一家,官網最近的更新時間還是2016年。
  • 安全藍隊 : 內存取證(上-獲得內存)
    藍隊安全 : 內存取證(獲得內存)前言內存取證一般指對計算機及相關智能設備運行時的物理內存中存儲的臨時數據進行獲取與分析,提取重要信息。在主機存活時發現系統被入侵, 然後直接把機器的運行內存 dump 下來,對運行內存進行分析,還原一些進程的中的信息。
  • 藍隊安全 : 內存取證(下-分析內存)
    前言隨著網絡攻擊和網絡犯罪技術的發展,內存取證作為計算機取證研究的重要分支,對於獲取、分析內存數據、提取網絡攻擊和網絡犯罪證據、重構網絡攻擊和網絡犯罪場景具有重要理論價值和實用價值.在我們的上一篇 藍隊安全 : 內存取證(上-獲得內存) 中我們講解並實戰了在不同系統平臺下獲得內存的方法,本次我們就著手分析 dump 出來的內存文件,在實戰中進一步的學習內存取證的知識點.VolatilityVolatility,作為內存取證最為常用的工具,是必須要掌握的。
  • 使用開源工具進行 Linux 內存取證 | Linux 中國
    計算機的作業系統和應用使用主內存(RAM)來執行不同的任務。這種易失性內存包含大量關於運行應用、網絡連接、內核模塊、打開的文件以及幾乎所有其他的內容信息,但這些信息每次計算機重啟的時候都會被清除。內存取證(Memory forensics)是一種從內存中找到和抽取這些有價值的信息的方式。Volatility 是一種使用插件來處理這類信息的開源工具。
  • 計算機內存取證技術
    當系統重新休眠時,當前物理內存中的內容將會覆蓋原有文件的數據。 要對hiberfil.sys進行分析,要求取證工具可以將休眠文件中的數據進行解壓為原生數據並進行數據解析。Mattieu Suiche的Windows Memory Toolkit工具hibr2bin.exe支持將休眠文件轉為原生轉儲文件。
  • Volatility學習筆記一:使用手冊
    0x00 概述Volatility是一款開源內存取證框架,能夠對導出的內存鏡像進行分析,通過獲取內核數據結構
  • 【取證小知識-1】
    取證雜談取證小知識-1針對Windows10的取證分析,一定要考慮到大版本更新的問題。一種磁碟盤容量的的建議描述方式(例):硬碟容量為1TB,扇區數為1,953,525,168(512位元組/扇區)。取證小知識-3雲取證的概念現在越來越火,越來越多的取證公司推出了雲取證產品。但實際上並非所有的雲取證都需要專業的付費工具才能展開。
  • Volatility-GUI做CTF內存取證題
    Volatility,內存取證工具,一直以來都很「清高」地以命令行方式「行走江湖」,完全不顧自己「參數眾多」這個「爆炸」形象,有種「任我行
  • 內存解析-volatility的圖形化插件volexp
    這不小知趕緊補上,這周給大家介紹volatility和它的圖形化插件volexp的使用。2021新年首發-Linux和MAC系統內存鏡像如何獲取?內存解析-利用Volatility提取Windows系統中的密碼volatility其實使用起來不難,我們先來看下傳統的volatility使用用法分為幾步:1、獲取內存鏡像的作業系統版本volatility -f 內存鏡像名稱<xxx.img> imageinfo
  • 全球七大頂尖網絡取證工具
    除非被什麼外部人士操縱,否則網絡/計算機取證的唯一目的,就是搜索、保存並分析從受害設備上獲取到的信息,並將這些信息用作證據。於是,這些計算機取證專業人士都用的是什麼工具呢?信息安全研究所給我們列出了一張單子,內含7種常用工具,並附有簡要描述及主要功能介紹。1.
  • 電子取證(Forensics)-Windows取證基礎
    取證的分類活取證死取證獲取內存工具在活取證中,可以使用內存dump工具,將被入侵的機器的內存保存下來,其中在Windows中經常使用的工具是DumpitDumpIt 是一款綠色免安裝的 windows 內存鏡像取證工具。