Volatility2.6内存取证工具安装及入门Linux和Windows下安装

(Volatility2.6内存取证工具安装及入门Linux和Windows下安装)

1-1. Volatility2.6简介

Volatility 是一个完全开源的工具，用于从内存 (RAM) 样本中提取数字工件。支持Windows，Linux，MaC，Android等多类型操作系统系统的内存取证。 那么针对竞赛这块（CTF、技能大赛等）基本上都是用在Misc方向的取证题上面，很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。 当然，这款工具在安装的时候也是非常难受，一大堆报错会让你很崩溃，但是你搞定这些事后对你的取证赛题将会突飞猛进！ 后续我也会更新解决各种疑难杂症报错的解决方案给大家。

2-1 Volatility2.6在Linux与Windows下的安装方法

2-1-1. Volatility2.6 Kali Linux下安装教程

Volatility2.6是基于Python2来实现的，而Volatility3的基于Python3来实现的，所以我们需要Python2的环境，推荐在kali下配置，因为kali自带Python2和Python3的环境，这样我们2.6和3的版本可以共存。 后续我也会写文章出Volatility3的安装和使用教程

该项目目前在Github上的开源项目地址以及官网：

https://github.com/volatilityfoundation/volatility

https://www.volatilityfoundation.org/releases

直接GitHub拉项目到Kali中或者通过官网下载对应版本并解压即可

到目录文件下 make install 或者 python2 setup.py install 进行安装

安装完成后执行 python2 volatility/vol.py -h 可以看到版本号即为安装成功

2-1-2. Volatility2.6 Windows下安装教程

在官网找到自己合适的版本下载即可，同时电脑要安装Python2的环境

cmd下运行volatility_2.6_win64_standalone.exe -h 即可

3-1. Volatility2.6的使用方法

3-1-1. 基础语法以及参数

-h：查看帮助

-f：指定镜像

imageinfo：获取当前内存镜像基本信息

--profile：指定镜像对应系统

相关命令后接参数：

-p：指定PID

-Q：指定内存地址

-D/–dump-dir：指定导出目录

-o：指定注册表的virtual地址

3-1-2. 常用命令以及语法

volatility -f 镜像 参数 命令
示例：volatility -f XXX.raw --profile=Win7SP1x64 pslist

常用命令

imageinfo    #查看镜像系统信息 使用对应版本的镜像，后面的参数使用–profile(两根横杠) --profile=Win7SP1x64

pslist 		#看完镜像直接查看这个镜像上有那些进程正在运行 pslist应该比较好理解就是进程的列表的意思。
psxview		#可查看一些隐藏进程
pstree 		#以树的形式来列出正在进行的进程，不会显示出隐藏或未链接的进程

cmdscan		#查看镜像的历史命令，就是和linux中history差不多。
consoles	#这个会比上面那个更好一些，能看到指令的输入和输出。
cmdline		#此指令将会列出所有命令行下运行的程序
cmdscan		#提取内存中保留的 cmd 命令使用情况
dlllist		#显示每个进程的加载dll列表
netscan 	#获取到当时的网络连接情况
svcscan		#查看服务
modules 	#查看内核驱动
modscan/driverscan 		 #可查看一些隐藏的内核驱动
ShimCache				#来识别应用程序兼容性问题。跟踪文件路径，大小，最后修改时间和最后“执行”时间.

privs		#显示进程权限
envars		#显示环境变量

filescan	#查找文件，可搭配 grep | "xxx"   /  filescan | grep -E “png”

memdump -p [PID] -D 保存目录			#通过相应的进程能直接dump出相关的文件。
dumpfiles -Q [16进制位置] -D 保存目录	 #通过16进制位置dump出相关的文件。

editbox		#查看系统正在运行的编辑本
dumpregistry -D 保存目录  #导出系统的注册表
screenshot -D 保存目录	  #查看并导出屏幕的截屏【需要安装PIL库】
clipboard				#查看剪贴板数据，加一个-v可以导出相关的数据。
iehistory				#查看浏览器的历史记录

printkey -K "SAM\Domains\Account\Users\Names"	#查看用户名
printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"  #打印出最后登录的用户
hashdump				#获取各个账号的MD5加密密码
hivelist				#获取注册表单元配置列表
#找出获取system 的 virtual 地址，SAM 的 virtual 地址，然后在使用hashdump -y SYSTEM_virtual -x SAM_virtual.  （通过hivelist找出用户）

4-2. 常用命令以及语法

4-2-1. 查询内存镜像操作系统

python2 volatility-master/vol.py -f 1.vmem imageinfo

拿到镜像后例行识别操作系统，这边可以看到操作系统的相似度依次排序，越靠前说明越有可能是这个系统，(参考nmap -o参数的操作系统识别)，后续所有指令前面都需要跟上 --profile=XXXX 参数来指定操作系统

4-2-2. 列出内存镜像运行的进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pslist

#查看一些隐藏进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 psxview

#以树的形式来列出正在进行的进程，不会显示出隐藏或未链接的进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pstree

#显示进程权限

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 privs

4-2-3. 提取内存中 cmd 命令使用情况

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdscan

我这个镜像貌似没有就不演示了

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 consoles

这个会比上面那个更好一些，能看到指令的输入和输出

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdline

此指令将会列出所有命令行下运行的程序

4-2-4. 显示每个进程的加载dll列表

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dlllist

4-2-5. 获取到当时的网络连接情况

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 netscan

可以看到这边有个1.exe的网络通信状态是ESTABLISHED且IP归属为海外，可以初步判定为恶意程序（M马、挖K程序等）

补充： 1、LISTENING状态 　　服务启动后首先处于侦听（LISTENING）状态。

2、ESTABLISHED状态 　　ESTABLISHED的意思是建立连接。表示两台机器正在通信。

4-2-6. 查看服务

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 svcscan

4-2-7. 查看内核驱动

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modules

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modscan/driverscan  #可查看一些隐藏的内核驱动

4-2-8. 跟踪文件路径，大小，最后修改时间和最后“执行”时间.

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 shimcache

4-2-9. 显示环境变量

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 envars

4-2-10. 文件扫描

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 filescan

#查找文件，可搭配 grep | "xxx" / filescan | grep -E “flag”

4-2-11. 通过16进制位置dump出相关的文件

#参数：dumpfiles -Q [16进制位置] -D 保存目录

ython2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003b33fb70  -D . 

dump出相关文件后可以进行下一步操作

4-2-12. 通过进程号dump出相关的文件

#参数：memdump -p [PID] -D 保存目录

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p 2368 -D .

4-2-13. 查看系统正在运行的编辑本

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 editbox

4-2-14. 导出系统的注册表

#参数：dumpregistry -D 保存目录

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpregistry -D .

4-2-15. 导出镜像当前截屏【需要安装PIL库】

#参数：screenshot -D 保存目录

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 screenshot -D .

在没有头绪的时候可以看一下截屏，说不定有意外收获可以看到打开的窗口

4-2-16. 查看剪贴板数据

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 clipboard

这个镜像貌似剪切板没数据。

4-2-17. 查看浏览器的历史记录

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 iehistory

4-2-18. 查看系统账户

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

4-2-19 查看计算机名

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"  

这边大多数系统的注册表名是固定为：ControlSet001\Control\ComputerName\ComputerName 所以可以直接利用这个注册表来print出来，有些系统版本注册表不一样的话一般用到hivlist来看注册表

4-2-20 利用hashdump和mimikatz破J账户密码

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 hashdump

可以看到administrator和test的账户密码是空密码，admin的则是有数据的。 补充：Windows的密码是NTLM加密，并不是MD5，所以在进行爆破的时候可以找在线的网站或者利用hashcat进行爆破，要注意是NTLM类型。 如果装了mimikatz插件的可以直接破J出明文的密码，这边不知道为啥没出来很奇怪。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 mimikatz

国赛答案汇总解析-竞赛直播培训