内存取证 | Volatility 3

渗透技巧 1年前 (2022) admin
2,071 0 0

Volatility 3

Volatility 学习

Volatility 是一款开源的内存取证软件,支持 Windows、Mac、linux(kali 下等等) 环境下使用。并且分别有 Volatility2 与 Volatility3 两个大版本,依次需要在 py2、py3 的环境下进行使用,也要确保系统中已安装环境,安装 pycrpto 库函数。

2与3的区别

Volatiliy 2 与 Volatiliy 3 之间的区别

Volatility 3从头开始设计为一个库,这意味着组件是独立的,在特定时间运行特定插件所需的所有状态都是自包含的

Volatiliy3不再使用配置文件,它带有广泛的符号表库,并且可以根据内存图像本身,大多数Windows内存图像生成新的符号表。这允许符号表包含基于该操作系统的特定位置(符号位置)的偏移量。这意味着通过对官方调试信息提供的这些结构进行已知偏移,可以更轻松,更快速地识别操作系统中的结构。

并且Volatility3和Volatility2的命令使用以及操作基本相同,但是volatility3中不需要指定profile ,只是插件调用方式改变,特定的操作系统有特定的插件,例如直接使用 ——python3 vol.py(.mem)windows.(命令)

符号表知识(CSDN)

https://so.csdn.net/so/search?spm=1001.2101.3001.4501&q=%E7%AC%A6%E5%8F%B7%E8%A1%A8&t=&u=

下载安装

Volatility 3 使用要求

python.3.(+)版本环境 、volatility 3.py 、linux环境、其他环境配置等等

Kali环境下:

1、安装python 3.7

wget https://www.python.org/ftp/python/3.7.0/Python-3.7.0.tgz

内存取证  |  Volatility 3

2、下载volaility3

Github

直接下载

内存取证  |  Volatility 3

解压后移动到kali内

内存取证  |  Volatility 3

3、安装

打开kali,进入root

内存取证  |  Volatility 3

随后直接打入代码!

1)、

GitHub – volatilityfoundation/volatility3: Volatility 3.0 development

2)、

git clonehttps://github.com/volatilityfoundation/volatility3.git

切记:进入vol 3 目录下

内存取证  |  Volatility 3 内存取证  |  Volatility 3

3)、

python3 vol.py -h

内存取证  |  Volatility 3


命令学习

以2019年美亚杯内存镜为例学习

内存取证  |  Volatility 3

判断未知内存镜像系统版本基本信息

python3 vol.py 文件路径(名称)windows.info

内存取证  |  Volatility 3

NTBuildLab Windows操作系统

SystemTime制作镜像时间

KdVersionBlock 地址

Layer_name

内存取证  |  Volatility 3

命令:查看进程

pslist/pstree/psscan命令均可查看

列出转储时运行的进程的详细信息;显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出

—python3 vol.py -f 文件.mem(可变) windows.pslist

内存取证  |  Volatility 3

—python3 vol.py -f 文件.mem(可变) windows.pstree (列出进程树)

内存取证  |  Volatility 3

—python3 vol.py -f 文件.mem(可变) windows.psscan

内存取证  |  Volatility 3

命令:查看文件 python3 vol.py -f 文件.mem(可变) windows.filescan

内存取证  |  Volatility 3

命令:查看网络连接 python3 vol.py -f 文件.mem(可变) windows.netscan

内存取证  |  Volatility 3

命令:查看服务运行状态 python3 vol.py -f 文件.mem(可变) windows.svcscan

内存取证  |  Volatility 3

命令:获取SAM表中的用户python3 vol.py -f 文件.mem(可变) windows.printkey

发现查看不方便,因此提示:vol 2 (windows版本)与vol 3 (linux版本)结合使用,方便解决问题。

内存取证  |  Volatility 3

Windows下简单明了

内存取证  |  Volatility 3

命令:列出内存映像中存在的注册表配置单元

python3 vol.py -f文件.mem(可变) windows.registry.hivelist

注意

windows下vol 2 可以直接使用hivelist,但是在linux下vol 3 中,需要加入registry

内存取证  |  Volatility 3

内存取证  |  Volatility 3

   同样的还有Windows内存映像中存在的注册表配置单元

python3 vol.py -f文件.mem(可变) windows.registry.hivescan

内存取证  |  Volatility 3

命令总结

比赛、实战中linux下常用命令总结

命令:windows.svcscan 查看服务的数据

命令:windows.hashdump:获取内存中的系统密码

命令:windows.getsids:查看SID

命令:windows.iehistory 查看浏览器历史记录

命令:查看服务 windows.svcscan

命令:查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等 userassist

命令:windows.netscan 查看网络连接

命令:windows.filescan 查看文件

命令:windows.printkey 获取SAM表中的用户

命令:windows.symlinkscan:扫描Windows内存映像中存在的链接

命令:windows.dlllist:列出Windows内存映像中已加载的dll模块

命令:windows.registry.hivelist:列出内存映像中存在的注册表配置单元

命令:windows.registry.hivescan:扫描Windows内存映像中存在的注册表配置单元

命令:windows.dlldump:将进程内存范围DLL转储

命令:windows.dlllist:列出Windows内存映像中已加载的dll模块

命令:windows.driverirp:在Windows内存映像中列出驱动程序的IRP

命令:windows.driverscan:扫描Windows内存映像中存在的驱动程序命令:  windows.symlinkscan:扫描Windows内存映像中存在的链接

内存取证  |  Volatility 3

内存取证  |  Volatility 3

原文始发于微信公众号(青云CWC安全团队):内存取证 | Volatility 3

版权声明:admin 发表于 2022年10月28日 下午12:02。
转载请注明:内存取证 | Volatility 3 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...