取證工具volatility

?

Volatility是一款開源內存取證框架，能夠對導出的內存鏡像進行分析，通過獲取內核數據結構，使用插件獲取內存的詳細情況以及系統的運行狀態。

特點：
開源：Python編寫，易于和基于python的主機防御框架集成。
支持多平臺：Windows，Mac，Linux全支持
易于擴展：通過插件來擴展Volatility的分析能力

工具help

把.raw轉儲文件從U 盤拷貝到桌面，然后打開終端查看權限，chmod +x 7.raw給予執行讀寫執行權限，volatility -h //查看幫助命令

分析內存文件

volatility -f 7.raw imageinfo //文件信息，關注profile，輸出轉儲文件系統相關信息，當我們拿到一個轉儲文件不知道該系統信息，可以使用這條命令判斷，它會輸出最可能的系統版本信息給你，這里我不作判斷了，我轉儲文件的系統是Win7SP1x64。volatility -f 7.raw --profile=Win7SP1x64 pslist //查看列表進程及物理內存位置，圖中offset(v)偏移值，十六進制表示所在物理位置; Name表進程程序名;PID(process ID)：PID 是程序被操作 系統加載到內存成為進程后動態分配的資源。每次程序執行的時候操作系統都會重新加載，PID在每次加載的時候都是不同的。PPID(parent process ID):PPID是程序的父進程號。Thds表示線程數。start表示進程運行開始的時間。volatility -f 7.raw --profile=Win7SP1x64 memdump -p 364 -D mem/ //dump進行內存到我當前系統目錄文件夾，這里的目錄文件夾要事先創建，不然會報錯，-p 指定PID; -D指定目錄文件夾。

hexeditor 364.dmp //查看dump文件內容

strings 364.dmp //查看dmp文件字符
strings 364.dmp | grep password //提取字符串grep password

volatility -f 7.raw --profile=Win7SP1x64 pstree //可以查看父子進程

volatility -f 7.raw --profile=Win7SP1x64 hivelist //查計算機蜂巢注冊表數據庫文件

volatility -f 7.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a0008c8010 //按虛內存地址查看注冊表內容

volatility -f 7.raw --profile=Win7SP1x64 printkey -
K “SAM\Domains\Account\Users\Names”

//查看用戶帳號

volatility -f 7.raw --profile=Win7SP1x64 printkey -K
“SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”
//查看最后登錄的賬戶

volatility -f 7.raw --profile=Win7SP1x64 userassist //正在運行的程序、運行過多少次、最后一次運行的時間

volatility -f 7.raw --profile=Win7SP1x64 hivelist //提取HASH

volatility -f 7.raw --profile=Win7SP1x64 hashdump -y system -s SAM

volatility -f 7.raw --profile=Win7SP1x64 cmdscan //命令行歷史

• volatility -f 7.raw --profile=Win7SP1x64 netscan //網絡連接
  volatility -f 7.raw --profile=Win7SP1x64 iehistory //網頁歷史信息

以上為volatility自帶插件，下面介紹自己安裝插件使用的方法

Volatility插件

?Firefoxhistory 插件
http://downloads.volatilityfoundation.org/contest/2014/DaveLasalle_ForensicSuite.zip //下載地址
/usr/lib/python2.7/dist-packages/volatility/plugins/ //移動到該目錄下
volatility -f 7.raw --profile=Win7SP1x64 firefoxhistory //使用該插件

?Timeline 插件
volatility -f 7.raw --profile=Win7SP1x64 timeliner
從多個位置收集大量系統活動信息

USN 日志記錄插件
– NTFS 特性，用于跟蹤硬盤內容變化（不記錄具體變更內容）
– https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/
usnparser.py
– volatility -f 7.raw --profile=Win7SP1x64 usnparser --output=csv --output-
file=usn.csv

?內存取證發現惡意軟件

– https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
– https://code.google.com/archive/p/volatility/wikis/
SampleMemoryImages.wiki

內存取證發現惡意軟件

– XP 建立 meterpreter session 后dump 內存分析

– volatility -f xp.raw --profile=Win7SP1x64 pstree

– volatility connscan 網絡連接

– volatility getsids -p 111,222 # SID

– volatility dlllist -p 111,222 # 數量

– volatility malfind -p 111,222 -D mem/ #檢查結果查毒

備注：以上介紹的有些粗略，對于電子取證這一塊有興趣的朋友可以深入研究，歡迎探討！！感謝轉發關注！！

總結

以上是生活随笔為你收集整理的电子取证volatility的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。