1 简介
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
2 使用
2.1 镜像基本信息
1 | volatility imageinfo -f Advertising\ for\ Marriage.raw |
关键看Suggested Profile(s)项,这里是工具判断该镜像的架构,同时也会提供相应架构的命令用于分析该镜像,然后在调用命令时加上如下命令 ‐‐profile=WinXPSP2x86 就可以了
2.2 查看进程信息
1 | volatility pslist -f Advertising\ for\ Marriage.raw ‐‐profile=WinXPSP2x86 |
2.3 扫描文件
1 | volatility filescan -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 |
2.4 导出图片
1 | volatility dumpfiles -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 -Q 0x000000000249ae78 -D ./ |
2.5 常用的命令
| 命令 | 功能 |
|---|---|
| cmdline/cmdscan | 列出历史cmd命令 |
| filescan | 扫描文件,可配合grep使用 |
| netscan | 扫描建立的连接和套接字,类似于netstat |
| pslist/psscan | 列出进程列表 |
| svcscan | 扫描windows服务列表 |
| screenshot | 显示GDI样式的截屏 |
| memdump | 从内存dump进程的内存 |
| dumpfiles | 从内存dump文件 |
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达,可以邮件至 xingshuaikun@163.com。
