Volatility 3
Volatility 学习
Volatility 是一款开源的内存取证软件,支持 Windows、Mac、linux(kali 下等等) 环境下使用。并且分别有 Volatility2 与 Volatility3 两个大版本,依次需要在 py2、py3 的环境下进行使用,也要确保系统中已安装环境,安装 pycrpto 库函数。
2与3的区别
Volatiliy 2 与 Volatiliy 3 之间的区别
Volatility 3从头开始设计为一个库,这意味着组件是独立的,在特定时间运行特定插件所需的所有状态都是自包含的
Volatiliy3不再使用配置文件,它带有广泛的符号表库,并且可以根据内存图像本身,大多数Windows内存图像生成新的符号表。这允许符号表包含基于该操作系统的特定位置(符号位置)的偏移量。这意味着通过对官方调试信息提供的这些结构进行已知偏移,可以更轻松,更快速地识别操作系统中的结构。
并且Volatility3和Volatility2的命令使用以及操作基本相同,但是volatility3中不需要指定profile ,只是插件调用方式改变,特定的操作系统有特定的插件,例如直接使用 ——python3 vol.py(.mem)windows.(命令)
符号表知识(CSDN)
https://so.csdn.net/so/search?spm=1001.2101.3001.4501&q=%E7%AC%A6%E5%8F%B7%E8%A1%A8&t=&u=
下载安装
Volatility 3 使用要求
python.3.(+)版本环境 、volatility 3.py 、linux环境、其他环境配置等等
Kali环境下:
1、安装python 3.7
wget https://www.python.org/ftp/python/3.7.0/Python-3.7.0.tgz
2、下载volaility3
Github
直接下载
解压后移动到kali内
3、安装
打开kali,进入root
随后直接打入代码!
1)、
GitHub – volatilityfoundation/volatility3: Volatility 3.0 development
2)、
git clonehttps://github.com/volatilityfoundation/volatility3.git
切记:进入vol 3 目录下
3)、
python3 vol.py -h
命令学习
以2019年美亚杯内存镜为例学习
判断未知内存镜像系统版本基本信息
python3 vol.py 文件路径(名称)windows.info
NTBuildLab Windows操作系统
SystemTime制作镜像时间
KdVersionBlock 地址
Layer_name
命令:查看进程
pslist/pstree/psscan命令均可查看
列出转储时运行的进程的详细信息;显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出
—python3 vol.py -f 文件.mem(可变) windows.pslist
—python3 vol.py -f 文件.mem(可变) windows.pstree (列出进程树)
—python3 vol.py -f 文件.mem(可变) windows.psscan
命令:查看文件 python3 vol.py -f 文件.mem(可变) windows.filescan
命令:查看网络连接 python3 vol.py -f 文件.mem(可变) windows.netscan
命令:查看服务运行状态 python3 vol.py -f 文件.mem(可变) windows.svcscan
命令:获取SAM表中的用户python3 vol.py -f 文件.mem(可变) windows.printkey
发现查看不方便,因此提示:vol 2 (windows版本)与vol 3 (linux版本)结合使用,方便解决问题。
Windows下简单明了
命令:列出内存映像中存在的注册表配置单元
python3 vol.py -f文件.mem(可变) windows.registry.hivelist
注意
windows下vol 2 可以直接使用hivelist,但是在linux下vol 3 中,需要加入registry
同样的还有Windows内存映像中存在的注册表配置单元
python3 vol.py -f文件.mem(可变) windows.registry.hivescan
命令总结
比赛、实战中linux下常用命令总结
命令:windows.svcscan 查看服务的数据
命令:windows.hashdump:获取内存中的系统密码
命令:windows.getsids:查看SID
命令:windows.iehistory 查看浏览器历史记录
命令:查看服务 windows.svcscan
命令:查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等 userassist
命令:windows.netscan 查看网络连接
命令:windows.filescan 查看文件
命令:windows.printkey 获取SAM表中的用户
命令:windows.symlinkscan:扫描Windows内存映像中存在的链接
命令:windows.dlllist:列出Windows内存映像中已加载的dll模块
命令:windows.registry.hivelist:列出内存映像中存在的注册表配置单元
命令:windows.registry.hivescan:扫描Windows内存映像中存在的注册表配置单元
命令:windows.dlldump:将进程内存范围DLL转储
命令:windows.dlllist:列出Windows内存映像中已加载的dll模块
命令:windows.driverirp:在Windows内存映像中列出驱动程序的IRP
命令:windows.driverscan:扫描Windows内存映像中存在的驱动程序命令: windows.symlinkscan:扫描Windows内存映像中存在的链接
原文始发于微信公众号(青云CWC安全团队):内存取证 | Volatility 3