volatility内存取证工具

基本介绍

Volatility是一款非常强大的内存取证工具，能够对导出的内存镜像进行分析，通过获取内核数据结构，使用插件获取内存的详细情况以及系统的运行状态，并且是一个开源的项目。

官网下载 官方文档

当我们遇到一些img、dmp、raw、vmem文件时就会用到他。

一些常用的命令

imageinfo获取内存镜像的摘要信息，内存镜像的系统版本

volatility -f easy_dump.img imageinfo

使用--info参数来查看Volatiliity已经添加的profile和插件等信息

volatility --info

kdbgscan插件扫描profile的值，通常扫描结果有多个，只有一个结果完全正确。kdbgscan和imageinfo仅适用于Windows内存镜像。

volatility -f easy_dump.img kdbgscan

pslist可以用来列出运行的进程。如果Exit所在的一列显示了日期时间，则表明该进程已经结束了。

volatility -f easy_dump.img --profile=Win7SP1x64 pslist

memdump命令将该进程作为文件导出。（p后跟扫描出的进程pid）

volatility -f easy_dump.img --profile=Win7SP1x64 memdump -p 2888 -D ./

转储内存中的进程里exe文件（将进程转储到可执行文件中）

volatility -f easy_dump.img --profile=Win7SP1x64 procdump -p 2888 -D ./

hivelist可以用来列举缓存在内存中的注册表（注册表中记录了用户安装在计算机上的软件和每个程序的相关信息，通过它可以控制硬件、软件、用户环境和操作系统界面的数据信息文件）

volatility -f easy_dump.img --profile=Win7SP1x64 hivelist

filescan可以扫描内存中的文件

volatility -f easy_dump.img --profile=Win7SP1x64 filescan

dumpfiles可以将内存中的文件导出 （Q参数后跟扫描出的文件地址 D后面的参数接dump出的文件放在哪）

volatility -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x00000000236eb5e0 -D ./ 

查看当前notepad内容（只能查看进程中的notepad.exe中的内容）

volatility -f 1.vmem --profile=Win7SP1x64 notepad

查看进程命令行参数

volatility -f memory.dmp --profile Win7SP1x64 cmdline

查看命令行历史记录

volatility -f memory.dmp --profile Win7SP1x64 cmdscan

查看屏幕截图

volatility -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./

查看网络连接

volatility -f 1.vmem --profile=Win7SP1x64 netscan

查看浏览器历史记录

volatility -f 1.vmem --profile=Win7SP1x64 iehistory

查看Windows服务列表

volatility -f 1.vmem --profile=Win7SP1x64 svcscan

查看用户名密码信息（hash值）

volatility -f 1.vmem --profile=Win7SP1x64 hashdump

打印内存中Windows剪切板中的内容

volatility -f 1.vmem --profile=Win7SP1x64 clipboard

打印注册表项及其子项和对应的值

volatility -f 1.vmem --profile=Win7SP1x64 printkey

参考文章

• CTF| 攻击取证之内存分析 - 腾讯云开发者社区-腾讯云 (tencent.com)
• volatility内存取证 | YLCao’s Blog
• 使用Volatility解决CTF取证类题目 - MengChen’s Blog (mengsec.com)
• 从一道CTF学习Volatility取证注册表 - FreeBuf网络安全行业门户