Volatility2.6的使用
-h:查看帮助
-f:指定镜像
imageinfo:获取当前内存镜像基本信息
–profile:指定镜像对应系统
相关命令后接参数:
-p:指定PID
-Q:指定内存地址
-D/–dump-dir:指定导出目录
-o:指定注册表的virtual地址
volatility -f 镜像 参数 命令
示例:volatility -f XXX.raw --profile=Win7SP1x64 pslist
常用命令
imageinfo #查看镜像系统信息 使用对应版本的镜像,后面的参数使用–profile(两根横杠) --profile=Win7SP1x64
python2 volatility-master/vol.py -f 1.vmem imageinfo
pslist #看完镜像直接查看这个镜像上有那些进程正在运行 pslist应该比较好理解就是进程的列表的意思。
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pslist
psxview #可查看一些隐藏进程
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 psxview
pstree #以树的形式来列出正在进行的进程,不会显示出隐藏或未链接的进程
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pstree
显示进程权限
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 privs
cmdscan #查看镜像的历史命令,就是和linux中history差不多。
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdscan
consoles #这个会比上面那个更好一些,能看到指令的输入和输出。
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 consoles
cmdline #此指令将会列出所有命令行下运行的程序
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdline
cmdscan #提取内存中保留的 cmd 命令使用情况
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdscsan
dlllist #显示每个进程的加载dll列表
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dlllist
netscan #获取到当时的网络连接情况
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 netscan
补充:
1、LISTENING状态
服务启动后首先处于侦听(LISTENING)状态。
2、ESTABLISHED状态
ESTABLISHED的意思是建立连接。表示两台机器正在通信。
svcscan #查看服务
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 svcscan
modules #查看内核驱动
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modules
modscan/driverscan #可查看一些隐藏的内核驱动
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modscan/driverscan #可查看一些隐藏的内核驱动
ShimCache #来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后“执行”时间.
privs #显示进程权限
envars #显示环境变量
filescan #查找文件,可搭配 grep | "xxx" / filescan | grep -E “png”
memdump -p [PID] -D 保存目录 #通过相应的进程能直接dump出相关的文件。
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p 2368 -D .
dumpfiles -Q [16进制位置] -D 保存目录 #通过16进制位置dump出相关的文件。
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003b33fb70 -D .
editbox #查看系统正在运行的编辑本
dumpregistry -D 保存目录 #导出系统的注册表
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpregistry -D .
screenshot -D 保存目录 #查看并导出屏幕的截屏【需要安装PIL库】
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 screenshot -D .
clipboard #查看剪贴板数据,加一个-v可以导出相关的数据。
iehistory #查看浏览器的历史记录
printkey -K "SAM\Domains\Account\Users\Names" #查看用户名
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
查看计算机名
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" #打印出最后登录的用户
hashdump #获取各个账号的MD5加密密码
利用hashdump和mimikatz破解账户密码
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 hashdump
可以看到administrator和test的账户密码是空密码,admin的则是有数据的。
如果装了mimikatz插件的可以直接破解出明文的密码,这边不知道为啥没出来很奇怪。
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 mimikatz
hivelist #获取注册表单元配置列表