內存解析-volatility的圖形化插件volexp

2022-01-29 取證知道

前言:上周介紹了如何給volatility配置第三方插件,很快就有讀者們私信小知說,是不是漏掉啥了,好像還沒講過volatility怎麼用啊?怎麼就第三方插件了?這不小知趕緊補上,這周給大家介紹volatility和它的圖形化插件volexp的使用

2021新年首發-Linux和MAC系統內存鏡像如何獲取?

內存解析-利用Volatility提取Windows系統中的密碼

volatility其實使用起來不難,我們先來看下傳統的volatility使用用法分為幾步:

1、獲取內存鏡像的作業系統版本

volatility -f 內存鏡像名稱<xxx.img> imageinfo

2、按照volatility的命令格式,通過各種插件指令獲取信息

volatility -f 內存鏡像名稱<xxx.img> --profile=作業系統信息<WinXPSP2x86> 插件名稱<memdump>參數

這確實不難,但是這麼複雜的命令行工具對廣大用戶實在不友好,大家都知道小知的性格,勤快(lan到天際)得不行,所以小知今天除了命令行的volatility 之外,主要是給大家介紹一款圖形化內存分析工具。

volexp,今天的主角登場,一款volatility圖形化插件,可以將volatility的複雜命令轉化成簡單的滑鼠點點點、將文本信息變成直觀的圖形化展示--這太符合小知的性格了

這就是它的主界面,是不是很像process explorer?是不是很直觀?

奉上官網地址,裡面有功能詳細介紹,在此我就不贅言了,各位看官可自行查閱,下面我來講講如何配置。

https://github.com/memoryforensics1/VolExp

雖然用起來簡單易用,但配置還需要花點小時間,官網有兩個版本,分別面向

volatility2與volatility3,我們以面向volatility2的volexp為例,做好以下準備工作:

1.volatility2.6.1

https://github.com/volatilityfoundation/volatility/archive/refs/tags/2.6.1.zip

2.volexp

https://codeload.github.com/memoryforensics1/VolExp/zip/refs/heads/master

3.winobj

https://github.com/kslgroup/WinObj

4.memtriage(需要用到裡面的libapi)

https://github.com/gleeda/memtriage/tree/master/volatility

5.pip

將以上材料準備好後分別解壓

按照上周介紹的方法把volexp中的volexp.pymemtriage.py,memtriage中

libapi.py,winobj中的winobj.py的四個文件依次複製到volatility目錄下的plugins文件夾中。

使用pip安裝以下模塊

pip install service

pip install pypiwin32

pip install yara

pip install requests

至此volexp配置完成,接下來看volexp如何運行。

volexp有兩種方式運行

第一種,作為volatility的插件啟動,命令如下:

python vol.py -f 內存鏡像 --profile=xxxxxxxxxx volexp --dump-dir=導出文件的保存位置

這種方式與傳統的volatility命令行界面無差異,只是輸入這個命令後會彈出圖形界面,還是要記命令,操作還是比較麻煩。

第二種,獨立啟動,進入volexp目錄,命令如下:

python volexp.py

啟動後將打開一個選項界面(上圖),其中四個星號為必填,填好後點擊最下方的

save&continue,界面馬上跳轉到第一張圖的樣式。

在主界面的操作與process explorer基本無異,可以跳轉,可以右鍵,不再需要輸入任何命令,點點滑鼠就可得到想要的分析結果,是不是 so easy!!!

(這才是小知的風格嘛,敲啥命令呀)

以上,就是今天給大家介紹的volatility和它的圖形化插件volexp的使用。

喜歡小知的話請不要忘了關注,點讚,轉發!

相關焦點

  • 圖形化內存分析工具volatility workbench
    在之前的文章中我們介紹過一款volatility插件volexp,功能著實強大,不過呢,還是需要配置python環境,安裝各種模塊,解決一個又一個的報錯才可以在命令行下啟動,對於懶人來說,還是太傷神。那這次就給大家推薦一款免費的volatility圖形化工具。
  • Volatility內存分析工具-某即時通訊軟體Windows端資料庫密鑰的分析
    這裡解析內存鏡像我們還是用Volatility。Volatility是一款開源內存取證框架,能夠對導出的內存鏡像進行分析,通過獲取內核數據結構,使用插件獲取內存的詳細情況以及系統的運行狀態。那麼關於某信資料庫的解析到這裡也就圓滿結束了,剩下的工作就是將數據導出成Excel等易於查看的格式。踩過的坑和感悟首先是第一個大坑,不知道是不是我搜索的姿勢有誤,但是感覺內存取證方面的資料明顯沒有計算機取證/移動端取證那樣豐富,僅有的資料也有些晦澀難懂。不知是否因為內存取證門檻相對較高?
  • 【Linux內存分析工具】Volatility
    Volatility有豐富的插件命令,能夠加載相應的配置文件profile 進行加載插件。需要特別說明的是,windows系統的profiles相當齊全,但linux下的profile就得自己製作了。1、kali便捷版      2017版kali自帶有volatility,在「應用程式」-「數字取證」中。
  • 【內存取證 】Volatility基本用法
    學習大佬的然後我們換一個就可以看到md5的密碼隨後用暴力破解就可以了connscan查看網絡連接狀態volatility -f --profile= connscan
  • Volatility-內存取證工具使用(1)
    /releases2.配置安裝目錄unzip -d /usr/local/volatility volatility_2.6_lin64_standalone.zipcd /usr/local/volatilitymv volatility_2.6_lin64_standalone volatility
  • Volatility學習筆記一:使用手冊
    ,使用插件獲取內存的詳細情況以及系統的運行狀態。,Linux)的原始碼,當然也可以通過github去獲取源碼:git clone https://github.com/volatilityf ... y.git依賴如果只是用Volatility本體的話,這些依賴是沒必要裝的,但是如果你想用某些插件,還是把以下這些必備的依賴包裝上吧。
  • 實例講解基於Volatility的內存分析技術Part 1
    該框架的下載地址為https://github.com/volatilityfoundation/volatility,相關的文檔地址為https://github.com/volatilityfoundation/volatility/wiki/Command-Reference-Mal。在這個系列文章中,我們將以Coreflood木馬為例,來介紹相關的內存取證方法。
  • 藍隊安全 : 內存取證(下-分析內存)
    支持的插件列表windows 下支持的插件列表amcache             # 查看 AmCache 應用程式痕跡信息apihooks            # 檢測內核及進程的內存空間中的 API hookatoms
  • 【Windows內存取證】
    在睡眠模式下,內存中的數據不會保存到硬碟中,而是一直保存在內存中,因此,電腦啟動速度更快,但設備斷電後,內存數據就會消失。天鑑計算機取證分析系統支持內存取證功能,包含系統信息、系統痕跡、文件信息、即時通訊、上網記錄等多種痕跡解析。
  • 【Volatility】取證實戰
    來源:360轉自:鵬越網絡空間安全研究院作者:beswing這幾天和麥香表哥一直在玩取證的事情,我也好好學習了Volatility這個神器,一個開源的Windows,Linux,MaC,Android的內存取證分析工具
  • 淺談內存取證
    .內存取證作為傳統文件系統取證的重要補充,是計算機取證科學的重要組成部分,通過全面獲取內存數據、詳盡分析內存數據,並在此基礎上提取與網絡攻擊或網絡犯罪相關的數字證據,近年來,內存取證已贏得安全社區的持續關注,獲得了長足的發展與廣泛應用,在網絡應急響應和網絡犯罪調查中發揮著不可替代的作用.首先回顧了內存取證研究的起源和發展演化過程;其次介紹了作業系統內存管理關鍵機制;然後探討了內存取證的數據獲取和分析方法
  • 計算機內存取證技術
    當系統重新休眠時,當前物理內存中的內容將會覆蓋原有文件的數據。 要對hiberfil.sys進行分析,要求取證工具可以將休眠文件中的數據進行解壓為原生數據並進行數據解析。Mattieu Suiche的Windows Memory Toolkit工具hibr2bin.exe支持將休眠文件轉為原生轉儲文件。
  • Volatility 3 Public Beta 發布,不再需要 --profile!
    由於這些貢獻,它已成為世界上最先進且使用最廣泛的內存取證平臺。在數字取證研究界,Volatility一直是蓬勃發展的生態系統的基礎,該生態系統繼續推動尖端技術快速過渡到全球數字調查人員的手中。(文字介紹來源於OSDFCon官網)      Volatility是世界上使用最廣泛的提取和處理內存信息的工具,包括一些取證產品也是在它的基礎上進行二次開發,比較出名的是
  • OtterCTF 13道內存取證題目詳細解析(上)
    solve看到Memory_Forensics,無腦上volatility先在國外伺服器起docker-kali,發現沒有volatilityapt-get update&& apt-get install volatility -y首先看imageinfo➜  Desktop
  • 使用開源工具進行 Linux 內存取證 | Linux 中國
    計算機的作業系統和應用使用主內存(RAM)來執行不同的任務。這種易失性內存包含大量關於運行應用、網絡連接、內核模塊、打開的文件以及幾乎所有其他的內容信息,但這些信息每次計算機重啟的時候都會被清除。內存取證(Memory forensics)是一種從內存中找到和抽取這些有價值的信息的方式。Volatility 是一種使用插件來處理這類信息的開源工具。
  • Volatility-GUI做CTF內存取證題
    現結合一個CTF的內存取證題來做個功能講解。一、程序界面    一眼看去,界面上功能眾多,眼花繚亂。我在這裡用「=======」進行功能分層隔離,介紹如下:    1)最上面一是Volatility程序的位置,畢竟作者只是做了個GUI,還是要調用Volatility程序的;二是指定設置了外部插件的位置,可以用python進行定製開發插件。
  • 取證分析 | Volatility工具使用
    Volatility是一款開源的內存取證分析工具,支持Windows,Linux,MaC,Android等多類型作業系統系統的內存取證方式。該工具是由python開發的,目前支持python2、python3環境。接下來小編將帶領大家學習Volatility工具的安裝及使用。
  • 期權交易隨筆-7:Volatility Arbitrage Strategies
    如果短期內沒有好的解決方案的話,筆者會考慮去一個博客開一個平行帳號解決這兩個問題。 (本文原創:伽馬交易員,微信號:gammatrader) 今天我們來說說volatility arbitrage。Q測度是risk neutral distribution,也就是市場價格隱含的概率分布,而P測度是現實當中金融市場裡的實際發生的概率分布,P-Q arbitrage就是嘗試在中長期裡面獲得Q測度下隱含的risk premium。
  • 安全藍隊 : 內存取證(上-獲得內存)
    藍隊安全 : 內存取證(獲得內存)前言內存取證一般指對計算機及相關智能設備運行時的物理內存中存儲的臨時數據進行獲取與分析,提取重要信息。在主機存活時發現系統被入侵, 然後直接把機器的運行內存 dump 下來,對運行內存進行分析,還原一些進程的中的信息。