前言
在做計算機最后兩道題目碰到了MP3格式的鏡像�����,分析發(fā)現(xiàn)是計算機內(nèi)存�����,要進行內(nèi)存取證�����,F(xiàn)在內(nèi)存取證在ctf比賽中也是常見的題目�����,內(nèi)存取證是指在計算機系統(tǒng)的內(nèi)存中進行取證分析�����,以獲取有關計算機系統(tǒng)當前狀態(tài)的信息�����。內(nèi)存取證通常用于分析計算機系統(tǒng)上運行的進程�����、網(wǎng)絡連接�����、文件�����、注冊表等信息�����,并可以用于檢測和分析惡意軟件�����、網(wǎng)絡攻擊和其他安全事件
使用環(huán)境
軟件:volatility2/3
系統(tǒng):kali(linux)�����,python2/3(kali自帶Python2和Python3的環(huán)境)
python環(huán)境切換可參考:
https://blog.csdn.net/u014602228/article/details/122619791
具體流程
第一步:下載和安裝Volatility
1、克隆volatility項目源碼到本地
安裝git
apt install git
克隆Volatility庫到本地
git clone https://github.com/volatilityfoundation/volatility
2�����、安裝volatility依賴
(1)distorm3
git clone https://github.com/vext01/distorm3
切換到distorm3目錄下�����,并執(zhí)行安裝命令
cd distorm3
python2 setup.py install
(2)pycryptodome
pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple
如果沒有安裝pip2�����,輸入以下命令(
https://blog.csdn.net/Fly_hps/article/details/120650837)
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
python2 get-pip.py
安裝成功
3�����、安裝Volatility
切換到volatility目錄下�����,并執(zhí)行安裝命令
cd volatility
python2 setup.py install
4�����、測試
任意目錄下執(zhí)行:vol.py --help(查看幫助)或vol.py --info(查看插件)�����,若能正常顯示相關信息�����,不報錯�����,即為安裝成功�����。
5�����、功能合集
點擊查看代碼
Volatility Foundation Volatility Framework 2.6
用法: Volatility - 內(nèi)存取證分析平臺
Options:
-h, --help 列出所有可用選項及其默認值
默認值可以在配置文件中設置
(/etc/volatilityrc)
--conf-file=/home/kali/.volatilityrc
基于用戶的配置文件
-d, --debug 調(diào)試Volatility
--plugins=PLUGINS 要使用的其他插件目錄(冒號分隔)
--info 打印所有注冊對象的信息
--cache-directory=/home/kali/.cache/volatility
存放緩存文件的目錄
--cache 使用緩存
--tz=TZ 設置 (Olson) 時區(qū)以使用 pytz(如果已安裝)或 tzset 顯示時間戳
-f FILENAME, --filename=FILENAME
打開圖像時使用的文件名
--profile=WinXPSP2x86
要加載的配置文件的名稱(使用 --info 查看支持的配置文件列表)
-l LOCATION, --location=LOCATION
從中加載地址空間的 URN 位置
-w, --write 啟用寫支持
--dtb=DTB DTB 地址
--shift=SHIFT Mac KASLR 移位地址
--output=text 以這種格式輸出(支持特定于模塊�����,請參閱下面的模塊輸出選項)
--output-file=OUTPUT_FILE
在此文件中寫入輸出
-v, --verbose 詳細信息
-g KDBG, --kdbg=KDBG 指定一個 KDBG 虛擬地址(注意:對于 64 位 Windows 8 及更高版本�����,這是 KdCopyDataBlock 的地址)
--force 強制使用可疑配置文件
-k KPCR, --kpcr=KPCR 指定特定的 KPCR 地址
--cookie=COOKIE 指定 nt!ObHeaderCookie 的地址(僅適用于 Windows 10)
支持的插件命令:
amcache 查看AmCache應用程序痕跡信息
apihooks 檢測內(nèi)核及進程的內(nèi)存空間中的API hook
atoms 列出會話及窗口站atom表
atomscan Atom表的池掃描(Pool scanner)
auditpol 列出注冊表HKLMSECURITYPolicyPolAdtEv的審計策略信息
bigpools 使用BigPagePoolScanner轉(zhuǎn)儲大分頁池(big page pools)
bioskbd 從實時模式內(nèi)存中讀取鍵盤緩沖數(shù)據(jù)(早期電腦可以讀取出BIOS開機密碼)
cachedump 獲取內(nèi)存中緩存的域帳號的密碼哈希
callbacks 打印全系統(tǒng)通知例程
clipboard 提取Windows剪貼板中的內(nèi)容
cmdline 顯示進程命令行參數(shù)
cmdscan 提取執(zhí)行的命令行歷史記錄(掃描_COMMAND_HISTORY信息)
connections 打印系統(tǒng)打開的網(wǎng)絡連接(僅支持Windows XP 和2003)
connscan 打印TCP連接信息
consoles 提取執(zhí)行的命令行歷史記錄(掃描_CONSOLE_INFORMATION信息)
crashinfo 提取崩潰轉(zhuǎn)儲信息
deskscan tagDESKTOP池掃描(Poolscaner)
devicetree 顯示設備樹信息
dlldump 從進程地址空間轉(zhuǎn)儲動態(tài)鏈接庫
dlllist 打印每個進程加載的動態(tài)鏈接庫列表
driverirp IRP hook驅(qū)動檢測
drivermodule 關聯(lián)驅(qū)動對象至內(nèi)核模塊
driverscan 驅(qū)動對象池掃描
dumpcerts 提取RAS私鑰及SSL公鑰
dumpfiles 提取內(nèi)存中映射或緩存的文件
dumpregistry 轉(zhuǎn)儲內(nèi)存中注冊表信息至磁盤
editbox 查看Edit編輯控件信息 (Listbox正在實驗中)
envars 顯示進程的環(huán)境變量
eventhooks 打印Windows事件hook詳細信息
evtlogs 提取Windows事件日志(僅支持XP/2003)
filescan 提取文件對象(file objects)池信息
gahti 轉(zhuǎn)儲用戶句柄(handle)類型信息
gditimers 打印已安裝的GDI計時器(timers)及回調(diào)(callbacks)
gdt 顯示全局描述符表(Global Deor Table)
getservicesids 獲取注冊表中的服務名稱并返回SID信息
getsids 打印每個進程的SID信息
handles 打印每個進程打開的句柄的列表
hashdump 轉(zhuǎn)儲內(nèi)存中的Windows帳戶密碼哈希(LM/NTLM)
hibinfo 轉(zhuǎn)儲休眠文件信息
hivedump 打印注冊表配置單元信息
hivelist 打印注冊表配置單元列表
hivescan 注冊表配置單元池掃描
hpakextract 從HPAK文件(Fast Dump格式)提取物理內(nèi)存數(shù)據(jù)
hpakinfo 查看HPAK文件屬性及相關信息
idt 顯示中斷描述符表(Interrupt Deor Table)
iehistory 重建IE緩存及訪問歷史記錄
imagecopy 將物理地址空間導出原生DD鏡像文件
imageinfo 查看/識別鏡像信息
impscan 掃描對導入函數(shù)的調(diào)用
joblinks 打印進程任務鏈接信息
kdbgscan 搜索和轉(zhuǎn)儲潛在KDBG值
kpcrscan 搜索和轉(zhuǎn)儲潛在KPCR值
ldrmodules 檢測未鏈接的動態(tài)鏈接DLL
lsadump 從注冊表中提取LSA密鑰信息(已解密)
machoinfo 轉(zhuǎn)儲Mach-O 文件格式信息
malfind 查找隱藏的和插入的代碼
mbrparser 掃描并解析潛在的主引導記錄(MBR)
memdump 轉(zhuǎn)儲進程的可尋址內(nèi)存
memmap 打印內(nèi)存映射
messagehooks 桌面和窗口消息鉤子的線程列表
mftparser 掃描并解析潛在的MFT條目
moddump 轉(zhuǎn)儲內(nèi)核驅(qū)動程序到可執(zhí)行文件的示例
modscan 內(nèi)核模塊池掃描
modules 打印加載模塊的列表
multiscan 批量掃描各種對象
mutantscan 對互斥對象池掃描
notepad 查看記事本當前顯示的文本
objtypescan 掃描窗口對象類型對象
patcher 基于頁面掃描的補丁程序內(nèi)存
poolpeek 可配置的池掃描器插件
printkey 打印注冊表項及其子項和值
privs 顯示進程權(quán)限
procdump 進程轉(zhuǎn)儲到一個可執(zhí)行文件示例
pslist 按照EPROCESS列表打印所有正在運行的進程
psscan 進程對象池掃描
pstree 以樹型方式打印進程列表
psxview 查找?guī)в须[藏進程的所有進程列表
qemuinfo 轉(zhuǎn)儲 Qemu 信息
raw2dmp 將物理內(nèi)存原生數(shù)據(jù)轉(zhuǎn)換為windbg崩潰轉(zhuǎn)儲格式
screenshot 基于GDI Windows的虛擬屏幕截圖保存
servicediff Windows服務列表(ala Plugx)
sessions _MM_SESSION_SPACE的詳細信息列表(用戶登錄會話)
shellbags 打印Shellbags信息
shimcache 解析應用程序兼容性Shim緩存注冊表項
shutdowntime 從內(nèi)存中的注冊表信息獲取機器關機時間
sockets 打印已打開套接字列表
sockscan TCP套接字對象池掃描
ssdt 顯示SSDT條目
strings 物理到虛擬地址的偏移匹配(需要一些時間,帶詳細信息)
svcscan Windows服務列表掃描
symlinkscan 符號鏈接對象池掃描
thrdscan 線程對象池掃描
threads 調(diào)查_ETHREAD 和_KTHREADs
timeliner 創(chuàng)建內(nèi)存中的各種痕跡信息的時間線
timers 打印內(nèi)核計時器及關聯(lián)模塊的DPC
truecryptmaster Recover 恢復TrueCrypt 7.1a主密鑰
truecryptpassphrase 查找并提取TrueCrypt密碼
truecryptsummary TrueCrypt摘要信息
unloadedmodules 打印卸載的模塊信息列表
userassist 打印注冊表中UserAssist相關信息
userhandles 轉(zhuǎn)儲用戶句柄表
vaddump 轉(zhuǎn)儲VAD數(shù)據(jù)為文件
vadinfo 轉(zhuǎn)儲VAD信息
vadtree 以樹形方式顯示VAD樹信息
vadwalk 顯示遍歷VAD樹
vboxinfo 轉(zhuǎn)儲Virtualbox信息(虛擬機)
verinfo 打印PE鏡像中的版本信息
vmwareinfo 轉(zhuǎn)儲VMware VMSS/VMSN 信息
volshell 內(nèi)存鏡像中的shell
windows 打印桌面窗口(詳細信息)
wintree Z順序打印桌面窗口樹
wndscan 池掃描窗口站
yarascan 以Yara簽名掃描進程或內(nèi)核內(nèi)存
6�����、插件合集
點擊查看代碼
Volatility Foundation Volatility Framework 2.6
Profiles
--------
VistaSP0x64 - Windows Vista SP0 x64 的配置文件
VistaSP0x86 - Windows Vista SP0 x86 的配置文件
VistaSP1x64 - Windows Vista SP1 x64 的配置文件
VistaSP1x86 - Windows Vista SP1 x86 的配置文件
VistaSP2x64 - Windows Vista SP1 x86 的配置文件
VistaSP2x86 - Windows Vista SP2 x64 的配置文件
Win10x64 - Windows 10 x64 的配置文件
Win10x64_10586 - Windows 10 x64 的配置文件 (10.0.10586.306 / 2016-04-23)
Win10x64_14393 - Windows 10 x64 的配置文件 (10.0.14393.0 / 2016-07-16)
Win10x86 - Windows 10 x86 的配置文件
Win10x86_10586 - Windows 10 x86 的配置文件 (10.0.10586.420 / 2016-05-28)
Win10x86_14393 - Windows 10 x86 的配置文件 (10.0.14393.0 / 2016-07-16)
Win2003SP0x86 - Windows 2003 SP0 x86 的配置文件
Win2003SP1x64 - Windows 2003 SP0 x86 的配置文件
Win2003SP1x86 - Windows 2003 SP1 x86 的配置文件
Win2003SP2x64 - Windows 2003 SP1 x86 的配置文件
Win2003SP2x86 - Windows 2003 SP2 x86 的配置文件
Win2008R2SP0x64 - Windows 2008 R2 SP0 x64 的配置文件
Win2008R2SP1x64 - Windows 2008 R2 SP1 x64 的配置文件
Win2008R2SP1x64_23418 - Windows 2008 R2 SP1 x64 的配置文件 (6.1.7601.23418 / 2016-04-09)
Win2008SP1x64 - Windows 2008 SP1 x64 的配置文件
Win2008SP1x86 - Windows 2008 SP1 x86 的配置文件
Win2008SP2x64 - Windows 2008 SP2 x64 的配置文件
Win2008SP2x86 - Windows 2008 SP2 x86 的配置文件
Win2012R2x64 - Windows Server 2012 R2 x64 的配置文件
Win2012R2x64_18340 - Windows Server 2012 R2 x64 的配置文件 (6.3.9600.18340 / 2016-05-13)
Win2012x64 - Windows Server 2012 x64 的配置文件
Win2016x64_14393 - Windows Server 2016 x64 的配置文件 (10.0.14393.0 / 2016-07-16)
Win7SP0x64 - Windows 7 SP0 x64 的配置文件
Win7SP0x86 - Windows 7 SP0 x86 的配置文件
Win7SP1x64 - Windows 7 SP1 x64 的配置文件
Win7SP1x64_23418 - Windows 7 SP1 x64 的配置文件 (6.1.7601.23418 / 2016-04-09)
Win7SP1x86 - Windows 7 SP1 x86 的配置文件
Win7SP1x86_23418 - Windows 7 SP1 x86 的配置文件 (6.1.7601.23418 / 2016-04-09)
Win81U1x64 - Windows 8.1 更新 1 x64 的配置文件
Win81U1x86 - Windows 8.1 更新 1 x86 的配置文件
Win8SP0x64 - Windows 8 x64 的配置文件
Win8SP0x86 - Windows 8 x86 的配置文件
Win8SP1x64 - Windows 8.1 x64 的配置文件
Win8SP1x64_18340 - Windows 8.1 x64 的配置文件 (6.3.9600.18340 / 2016-05-13)
Win8SP1x86 - Windows 8.1 x86 的配置文件
WinXPSP1x64 - Windows XP SP1 x64 的配置文件
WinXPSP2x64 - Windows XP SP2 x64 的配置文件
WinXPSP2x86 - Windows XP SP2 x86 的配置文件
WinXPSP3x86 - Windows XP SP3 x86 的配置文件
Address Spaces
--------------
AMD64PagedMemory - 標準 AMD 64 位地址空間
ArmAddressSpace - ARM 處理器的地址空間
FileAddressSpace - 這是一個直接文件 AS.
HPAKAddressSpace - 此 AS 支持 HPAK 格式
IA32PagedMemory - 標準 IA-32 分頁地址空間
IA32PagedMemoryPae - 此類實現(xiàn) IA-32 PAE 分頁地址空間
LimeAddressSpace - Lime 的地址空間
LinuxAMD64PagedMemory - Linux 特定的 AMD 64 位地址空間
MachOAddressSpace - mach-o 文件的地址空間以支持 atc-ny 內(nèi)存讀取器
OSXPmemELF - 這個 AS 支持 VirtualBox ELF64 coredump 格式
QemuCoreDumpElf - 這個 AS 支持 Qemu ELF32 和 ELF64 核心轉(zhuǎn)儲格式
VMWareAddressSpace - 此 AS 支持 VMware 快照 (VMSS) 和保存狀態(tài) (VMSS) 文件
VMWareMetaAddressSpace - 此 AS 支持帶有 VMSN/VMSS 元數(shù)據(jù)的 VMEM 格式
VirtualBoxCoreDumpElf64 - 這個 AS 支持 VirtualBox ELF64 coredump 格式
Win10AMD64PagedMemory - Windows 10 特定的 AMD 64 位地址空間
WindowsAMD64PagedMemory - Windows 特定的 AMD 64 位地址空間
WindowsCrashDumpSpace32 - 這個 AS 支持 windows 崩潰轉(zhuǎn)儲格式
WindowsCrashDumpSpace64 - 此 AS 支持 windows Crash Dump 格式
WindowsCrashDumpSpace64BitMap - 此 AS 支持 Windows BitMap Crash Dump 格式
WindowsHiberFileSpace32 - 這是 Windows 休眠文件的休眠地址空間
Plugins
-------
amcache - 打印 AmCache 信息
apihooks - 檢測進程和內(nèi)核內(nèi)存中的 API 掛鉤
atoms - 打印會話和窗口站原子表
atomscan - 原子表的池掃描器
auditpol - 從 HKLM\SECURITY\Policy\PolAdtEv 打印出審計策略
bigpools - 使用 BigPagePoolScanner 轉(zhuǎn)儲大頁面池
bioskbd - 從實模式內(nèi)存中讀取鍵盤緩沖區(qū)
cachedump - 從內(nèi)存中轉(zhuǎn)儲緩存的域哈希
callbacks - 打印系統(tǒng)范圍的通知例程
clipboard - 提取 Windows 剪貼板的內(nèi)容
cmdline - 顯示進程命令行參數(shù)
cmdscan - 通過掃描 _COMMAND_HISTORY 來提取命令歷史記錄
connections - 打印打開的連接列表 [僅限 Windows XP 和 2003]
connscan - 用于 tcp 連接的池掃描器
consoles - 通過掃描 _CONSOLE_INFORMATION 提取命令歷史記錄
crashinfo - 轉(zhuǎn)儲崩潰轉(zhuǎn)儲信息
deskscan - tagDESKTOP(臺式機)的 Poolscaner
devicetree - 顯示設備樹
dlldump - 從進程地址空間轉(zhuǎn)儲 DLL
dlllist - 打印每個進程加載的 dll 列表
driverirp - 驅(qū)動程序 IRP 掛鉤檢測
drivermodule - 將驅(qū)動程序?qū)ο箨P聯(lián)到內(nèi)核模塊
driverscan - 驅(qū)動程序?qū)ο蟮某貟呙杵?dumpcerts - 轉(zhuǎn)儲 RSA 私有和公共 SSL 密鑰
dumpfiles - 提取內(nèi)存映射和緩存文件
dumpregistry - 將注冊表文件轉(zhuǎn)儲到磁盤
editbox - 顯示有關編輯控件的信息(列表框?qū)嶒灒?envars - 顯示進程環(huán)境變量
eventhooks - 在 Windows 事件掛鉤上打印詳細信息
evtlogs - 提取 Windows 事件日志(僅限 XP/2003)
filescan - 文件對象的池掃描器
gahti - 轉(zhuǎn)儲 USER 句柄類型信息
gditimers - 打印已安裝的 GDI 計時器和回調(diào)
gdt - 顯示全局描述符表
getservicesids - 獲取 Registry 中的服務名稱并返回計算的 SID
getsids - 打印擁有每個進程的 SID
handles - 打印每個進程的打開句柄列表
hashdump - 從內(nèi)存中轉(zhuǎn)儲密碼哈希 (LM/NTLM)
hibinfo - 轉(zhuǎn)儲休眠文件信息
hivedump - 打印注冊表
hivelist - 打印注冊表配置單元列表
hivescan - 注冊表配置單元的池掃描程序
hpakextract - 從 HPAK 文件中提取物理內(nèi)存
hpakinfo - 有關 HPAK 文件的信息
idt - 顯示中斷描述符表
iehistory - 重建 Internet Explorer 緩存/歷史
imagecopy - 將物理地址空間復制為原始 DD 映像
imageinfo - 識別圖像的信息
impscan - 掃描對導入函數(shù)的調(diào)用
joblinks - 打印進程作業(yè)鏈接信息
kdbgscan - 搜索和轉(zhuǎn)儲潛在的 KDBG 值
kpcrscan - 搜索和轉(zhuǎn)儲潛在的 KPCR 值
ldrmodules - 檢測未鏈接的 DLL
limeinfo - 轉(zhuǎn)儲 Lime 文件格式信息
linux_apihooks - 檢查用戶態(tài) apihooks
linux_arp - 打印 ARP 表
linux_aslr_shift - 自動檢測 Linux ASLR shift
linux_banner - 打印 Linux 橫幅信息
linux_bash - 從 bash 進程內(nèi)存中恢復 bash 歷史記錄
linux_bash_env - 恢復進程的動態(tài)環(huán)境變量
linux_bash_hash - 從 bash 進程內(nèi)存中恢復 bash 哈希表
linux_check_afinfo - 驗證網(wǎng)絡協(xié)議的操作函數(shù)指針
linux_check_creds - 檢查是否有進程共享憑證結(jié)構(gòu)
linux_check_evt_arm - 檢查異常向量表以查找系統(tǒng)調(diào)用表掛鉤
linux_check_fop - 檢查 rootkit 修改的文件操作結(jié)構(gòu)
linux_check_idt - 檢查 IDT 是否已被更改
linux_check_inline_kernel - 檢查內(nèi)聯(lián)內(nèi)核掛鉤
linux_check_modules - 將模塊列表與 sysfs 信息進行比較(如果可用)
linux_check_syscall - 檢查系統(tǒng)調(diào)用表是否已更改
linux_check_syscall_arm - 檢查系統(tǒng)調(diào)用表是否已更改
linux_check_tty - 檢查 tty 設備的鉤子
linux_cpuinfo - 打印每個活動處理器的信息
linux_dentry_cache - 從 dentry 緩存中收集文件
linux_dmesg - 收集 dmesg 緩沖區(qū)
linux_dump_map - 將選定的內(nèi)存映射寫入磁盤
linux_dynamic_env - 恢復進程的動態(tài)環(huán)境變量
linux_elfs - 在進程映射中查找 ELF 二進制文件
linux_enumerate_files - 列出文件系統(tǒng)緩存引用的文件
linux_find_file - 列出并從內(nèi)存中恢復文件
linux_getcwd - 列出每個進程的當前工作目錄
linux_hidden_modules - 雕刻內(nèi)存以查找隱藏的內(nèi)核模塊
linux_ifconfig - 收集活動接口
linux_info_regs - 就像 GDB 中的“信息寄存器”�����。 它打印出所有
linux_iomem - 提供類似于 /proc/iomem 的輸出
linux_kernel_opened_files - 列出從內(nèi)核中打開的文件
linux_keyboard_notifiers - 解析鍵盤通知器調(diào)用鏈
linux_ldrmodules - 將 proc 映射的輸出與 libdl 中的庫列表進行比較
linux_library_list - 列出加載到進程中的庫
linux_librarydump - 將進程內(nèi)存中的共享庫轉(zhuǎn)儲到磁盤
linux_list_raw - 列出具有混雜套接字的應用程序
linux_lsmod - 收集加載的內(nèi)核模塊
linux_lsof - 列出文件描述符及其路徑
linux_malfind - 尋找可疑的進程映射
linux_memmap - 轉(zhuǎn)儲 linux 任務的內(nèi)存映射
linux_moddump - 提取加載的內(nèi)核模塊
linux_mount - 收集掛載的 fs/devices
linux_mount_cache - 從 kmem_cache收集掛載的 fs/devices
linux_netfilter - 列出 Netfilter 鉤子
linux_netscan - 雕刻網(wǎng)絡連接結(jié)構(gòu)
linux_netstat - 列出打開的套接字
linux_pidhashtable - 通過 PID 哈希表枚舉進程
linux_pkt_queues - 將每個進程的數(shù)據(jù)包隊列寫入磁盤
linux_plthook - 掃描 ELF 二進制文件的 PLT 以獲取非需要圖像的掛鉤
linux_proc_maps - 收集進程內(nèi)存映射
linux_proc_maps_rb - 通過映射紅黑樹為 linux 收集進程映射
linux_procdump - 將進程的可執(zhí)行映像轉(zhuǎn)儲到磁盤
linux_process_hollow - 檢查進程空心的跡象
linux_psaux - 收集進程以及完整的命令行和開始時間
linux_psenv - 收集進程及其靜態(tài)環(huán)境變量
linux_pslist - 通過遍歷 task_struct->task 列表來收集活動任務
linux_pslist_cache - 從 kmem_cache 收集任務
linux_psscan - 掃描進程的物理內(nèi)存
linux_pstree - 顯示進程之間的父/子關系
linux_psxview - 使用各種進程列表查找隱藏進程
linux_recover_filesystem - 從內(nèi)存中恢復整個緩存文件系統(tǒng)
linux_route_cache - 從內(nèi)存中恢復路由緩存
linux_sk_buff_cache - 從 sk_buff kmem_cache 中恢復數(shù)據(jù)包
linux_slabinfo - 在運行的機器上模擬 /proc/slabinfo
linux_strings - 將物理偏移量與虛擬地址匹配(可能需要一段時間�����,非常冗長)
linux_threads - 打印進程的線程
linux_tmpfs - 從內(nèi)存中恢復 tmpfs 文件系統(tǒng)
linux_truecrypt_passphrase - 恢復緩存的 Truecrypt 密碼
linux_vma_cache - 從 vm_area_struct 緩存中收集 VMA
linux_volshell - 內(nèi)存映像中的 Shell
linux_yarascan - Linux 內(nèi)存映像中的 shell
lsadump - 從注冊表中轉(zhuǎn)儲(解密的)LSA 機密
mac_adium - 列出 Adium 消息
mac_apihooks - 檢查進程中的 API 掛鉤
mac_apihooks_kernel - 檢查系統(tǒng)調(diào)用和內(nèi)核函數(shù)是否被掛鉤
mac_arp - 打印 arp 表
mac_bash - 從 bash 進程內(nèi)存中恢復 bash 歷史記錄
mac_bash_env - 恢復 bash 的環(huán)境變量
mac_bash_hash - 從 bash 進程內(nèi)存中恢復 bash 哈希表
mac_calendar - 從 Calendar.app 獲取日歷事件
mac_check_fop - 驗證文件操作指針
mac_check_mig_table - 列出內(nèi)核 MIG 表中的整體
mac_check_syscall_shadow - 查找影子系統(tǒng)調(diào)用表
mac_check_syscalls - 檢查系統(tǒng)調(diào)用表條目是否被掛鉤
mac_check_sysctl - 檢查未知的 sysctl 處理程序
mac_check_trap_table - 檢查 mach 陷阱表條目是否被鉤住
mac_compressed_swap - 打印 Mac OS X VM 壓縮器統(tǒng)計數(shù)據(jù)并轉(zhuǎn)儲所有壓縮頁面
mac_contacts - 從 Contacts.app 獲取聯(lián)系人姓名
mac_dead_procs - 打印終止/取消分配的進程
mac_dead_sockets - 打印終止/取消分配的網(wǎng)絡套接字
mac_dead_vnodes - 列出釋放的 vnode 結(jié)構(gòu)
mac_devfs - 列出文件緩存中的文件
mac_dmesg - 打印內(nèi)核調(diào)試緩沖區(qū)
mac_dump_file - 轉(zhuǎn)儲指定文件
mac_dump_maps - 轉(zhuǎn)儲進程的內(nèi)存范圍,可選地包括壓縮交換中的頁面
mac_dyld_maps - 從 dyld 數(shù)據(jù)結(jié)構(gòu)中獲取進程的內(nèi)存映射
mac_find_aslr_shift - 查找 10.8+ 圖像的 ASLR 移位值
mac_get_profile - 自動檢測 Mac 配置文件
mac_ifconfig - 列出所有設備的網(wǎng)絡接口信息
mac_interest_handlers - 列出 IOKit 興趣處理程序
mac_ip_filters - 報告任何掛鉤的 IP 過濾器
mac_kernel_classes - 列出內(nèi)核中加載的 c++ 類
mac_kevents - 顯示進程的父/子關系
mac_keychaindump - 恢復可能的鑰匙串密鑰。 使用chainbreaker打開相關的keychain文件
mac_ldrmodules - 將 proc 映射的輸出與 libdl 中的庫列表進行比較
mac_librarydump - 轉(zhuǎn)儲進程的可執(zhí)行文件
mac_list_files - 列出文件緩存中的文件
mac_list_kauth_listeners - 列出 Kauth Scope 監(jiān)聽器
mac_list_kauth_scopes - 列出 Kauth 范圍及其狀態(tài)
mac_list_raw - 列出具有混雜套接字的應用程序
mac_list_sessions - 枚舉會話
mac_list_zones - 打印活動區(qū)域
mac_lsmod - 列出加載的內(nèi)核模塊
mac_lsmod_iokit - 列出通過 IOkit 加載的內(nèi)核模塊
mac_lsmod_kext_map - 列出加載的內(nèi)核模塊
mac_lsof - 列出每個進程打開的文件
mac_machine_info - 打印有關樣本的機器信息
mac_malfind - 尋找可疑的進程映射
mac_memdump - 將可尋址內(nèi)存頁轉(zhuǎn)儲到文件中
mac_moddump - 將指定的內(nèi)核擴展寫入磁盤
mac_mount - 打印掛載的設備信息
mac_netstat - 列出每個進程的活動網(wǎng)絡連接
mac_network_conns - 列出來自內(nèi)核網(wǎng)絡結(jié)構(gòu)的網(wǎng)絡連接
mac_notesapp - 查找 Notes 消息的內(nèi)容
mac_notifiers - 檢測將鉤子添加到 I/O 工具包中的 rootkit(例如 LogKext)
mac_orphan_threads - 列出不映射回已知模塊/進程的線程
mac_pgrp_hash_table - 遍歷進程組哈希表
mac_pid_hash_table - 遍歷 pid 哈希表
mac_print_boot_cmdline - 打印內(nèi)核啟動參數(shù)
mac_proc_maps - 獲取進程的內(nèi)存映射
mac_procdump - 轉(zhuǎn)儲進程的可執(zhí)行文件
mac_psaux - 在用戶區(qū)打印帶有參數(shù)的進程 (**argv)
mac_psenv - 在用戶空間打印帶有環(huán)境的進程 (**envp)
mac_pslist - 列出正在運行的進程
mac_pstree - 顯示進程的父/子關系
mac_psxview - 使用各種進程列表查找隱藏進程
mac_recover_filesystem - 恢復緩存的文件系統(tǒng)
mac_route - 打印路由表
mac_socket_filters - 報告套接字過濾器
mac_strings - 將物理偏移量與虛擬地址匹配(可能需要一段時間�����,非常冗長)
mac_tasks - 列出活動任務
mac_threads - 列出進程線程
mac_threads_simple - 列出線程及其開始時間和優(yōu)先級
mac_timers - 報告內(nèi)核驅(qū)動程序設置的定時器
mac_trustedbsd - 列出惡意的trustedbsd 策略
mac_version - 打印 Mac 版本
mac_vfsevents - 列出過濾文件系統(tǒng)事件的進程
mac_volshell - 內(nèi)存映像中的外殼
mac_yarascan - 掃描內(nèi)存中的 yara 簽名
machoinfo - 轉(zhuǎn)儲 Mach-O 文件格式信息
malfind - 查找隱藏和注入的代碼
mbrparser - 掃描并解析潛在的主引導記錄 (MBR)
memdump - 轉(zhuǎn)儲進程的可尋址內(nèi)存
memmap - 打印內(nèi)存映射
messagehooks - 列出桌面和線程窗口消息掛鉤
mftparser - 掃描并解析潛在的 MFT 條目
moddump - 將內(nèi)核驅(qū)動程序轉(zhuǎn)儲到可執(zhí)行文件示例
modscan - 內(nèi)核模塊的池掃描器
modules - 打印加載模塊的列表
multiscan - 一次掃描各種對象
mutantscan - 互斥對象的池掃描器
netscan - 掃描 Vista(或更高版本)圖像的連接和套接字
notepad - 列出當前顯示的記事本文本
objtypescan - 掃描 Windows 對象類型對象
patcher - 基于頁面掃描修補內(nèi)存
poolpeek - 可配置的池掃描器插件
pooltracker - 顯示池標簽使用的摘要
printkey - 打印注冊表項及其子項和值
privs - 顯示進程權(quán)限
procdump - 將進程轉(zhuǎn)儲到可執(zhí)行文件示例
pslist - 按照 EPROCESS 列表打印所有正在運行的進程
psscan - 進程對象的池掃描器
pstree - 將進程列表打印為樹
psxview - 使用各種進程列表查找隱藏進程
qemuinfo - 轉(zhuǎn)儲 Qemu 信息
raw2dmp - 將物理內(nèi)存樣本轉(zhuǎn)換為 windbg 故障轉(zhuǎn)儲
screenshot - 保存基于 GDI 窗口的偽截圖
servicediff - 列出 Windows 服務(ala Plugx)
sessions - 列出 _MM_SESSION_SPACE 的詳細信息(用戶登錄會話)
shellbags - 打印 ShellBags 信息
shimcache - 解析應用程序兼容性 Shim Cache 注冊表項
shutdowntime - 從注冊表打印機器的 ShutdownTime
sockets - 打印打開的套接字列表
sockscan - tcp 套接字對象的池掃描器
ssdt - 顯示 SSDT 條目
strings - 將物理偏移量與虛擬地址匹配(可能需要一段時間,非常冗長)
svcscan - 掃描 Windows 服務
symlinkscan - 符號鏈接對象的池掃描器
thrdscan - 線程對象的池掃描器
threads - 調(diào)查 _ETHREAD 和 _KTHREADs
timeliner - 從內(nèi)存中的各種工件創(chuàng)建時間線
timers - 打印內(nèi)核定時器和相關的模塊 DPC
truecryptmaster - 恢復 TrueCrypt 7.1a 主密鑰
truecryptpassphrase - TrueCrypt 緩存密碼短語查找器
truecryptsummary - TrueCrypt 總結(jié)
unloadedmodules - 打印已卸載模塊的列表
userassist - 打印 userassist 注冊表項和信息
userhandles - 轉(zhuǎn)儲 USER 句柄表
vaddump - 將 vad 部分轉(zhuǎn)儲到文件中
vadinfo - 轉(zhuǎn)儲 VAD 信息
vadtree - 遍歷 VAD 樹并以樹格式顯示
vadwalk - 走 VAD 樹
vboxinfo - 轉(zhuǎn)儲 virtualbox 信息
verinfo - 從 PE 圖像中打印出版本信息
vmwareinfo - 轉(zhuǎn)儲 VMware VMSS/VMSN 信息
volshell - 內(nèi)存映像中的 Shell
win10cookie - 查找 Windows 10 的 ObHeaderCookie 值
windows - 打印桌面窗口(詳細信息)
wintree - 打印Z順序桌面Windows樹
wndscan - 用于窗口站的池掃描儀
yarascan - 使用 Yara 簽名掃描進程或內(nèi)核內(nèi)存
Scanner Checks
--------------
CheckPoolSize - 檢查池塊大小
CheckPoolType - 檢查池類型
KPCRScannerCheck - 檢查自引用指針以查找KPCR
MultiPrefixFinderCheck - 每頁檢查多個字符串�����,在偏移處完成
MultiStringFinderCheck - 每頁檢查多個字符串
PoolTagCheck - 此掃描程序檢查池標記的出現(xiàn)
安裝流程參考:
https://blog.csdn.net/qq_38603541/article/details/129244112
第二步:使用volatility
我在做計算機題目時�����,用火眼分析yiyan計算機�����,對應文件夾下出現(xiàn)了內(nèi)存鏡像
將文件放入kali分析
例題
01 分析義言的計算機內(nèi)存檢材, 該內(nèi)存鏡像制作時間(UTC+8)是
命令:
vol.py -f /home/kali/桌面/memdump.mem imageinfo
內(nèi)存文件9GB�����,所以這個命令執(zhí)行時間比較久
02 分析義言的計算機內(nèi)存檢材, navicat.exe 的進程 ID 是
命令:
vol.py -f /home/kali/桌面/memdump.mem windows.pslist |findstr navicat
總結(jié)
通過盤古石比賽了解了內(nèi)存取證類型的題目�����,在看別人題解的時候發(fā)現(xiàn)volatility為主流分析工具�����,安裝后大致了解了操作流程和功能點�����。相對來說火眼內(nèi)存取證工具方便一點�����,volatility更偏向于用命令行個性化搜索相關信息
