MoonSols && Volatility 内存取证分析（一.搭建取证环境）

MoonSols && Volatility 内存取证分析（一.搭建取证环境）

一.系统内存获取工具

MoonSols windows内存工具箱.

download：http://www.moonsols.com/

1.支持多种哈希算法.

2.包含服务器组件,可以通过网络获取远程服务器的内存转储.

3.支持\Device\PhysicalMemory等三种内存映射方式.

4.能够将内存转储转换为microsoft崩溃转储文件.方便使用调试器分析.

5.能够将休眠文件转换为内存转储.

6.专业版支持脚本编写,体系结构互换等功能.

具体帮助信息如下:

二.内存转储分析工具

Volatility 2.0 基于python的内存分析工具

Volatility 2.0 内部集成了部分插件模块.内置插件模块功能比较单一.

如果需要使用恶意软件分析中使用的插件,到http://code.google.com/p/malwarecookbook/source/browse/trunk/

下载malware.py存放至插件目录即可.（根据最初的错误提示安装yara和distorm）

download：http://code.google.com/p/volatility/downloads/list

volatility-2.0.standalone.zip是使用pyinstaller编译完整的exe文件.内部包含有python运行时核心组件和Volatility模块.

volatility-2.0.win32.exe安装Volatility至python系统目录.

volatility-2.0.zip建议直接使用源码文件.可支持恶意软件分析中提供的插件模块.

tips:需要系统安装python2.6以上版本.使用加密相关模块需要安装pycrypto模块(需要安装cygwin或者Mingw).

      安装Mingw目测是依旧失败,具体错误是无法使用chmod改变一个配置shell脚本的属性.

配置完成后进入Volatility目录使用python vol.py -h可以查看帮助信息和支持的插件列表.

至此,获取内存和分析内存转储的环境已经搭建完毕.