电子取证--windows下的volatility分析与讲解

1.volatility的安装

提示：我用的是2.6版本（windows），如果直接下载的出现问题，用迅雷就可以解决

下载地址：Volatility

---

2.volatility的使用

1.进入终端，查看镜像的系统信息：

volatility.exe -f image.vmem imageinfo

一般都以第一个为主

2.查看进程

volatility.exe -f image.vmem --profile=Win7SP1x64 pslist

3.查看服务

volatility.exe -f image.vmem --profile=Win7SP1x64 svcscan

扩展：有没有发现，执行什么就改最后面那个就可以了

查看网络连接：volatility.exe -f image.vmem --profile=Win7SP1x64 netscan
查看历史cmd命令：volatility.exe -f image.vmem --profile=Win7SP1x64 cmdscan
查看进程命令行参数：volatility.exe -f image.vmem --profile=Win7SP1x64 cmdline
查找所有文件列表：volatility.exe -f image.vmem --profile=Win7SP1x64 filescan
相关信息匹配查询：volatility.exe -f image.vmem --profile=Win7SP1x64filescan | findstr ".txt\|.doc\|.zip\|.png"
查flag文件：volatility.exe -f image.vmem --profile=Win7SP1x64 filescan | findstr "flag" 
显示进程权限：volatility.exe -f image.vmem --profile=Win7SP1x64 privs
显示环境变量：volatility.exe -f image.vmem --profile=Win7SP1x64 envars

4.提取文件

使用dumpfiles提取文件
-Q的参数为 内存地址
–dump-dir的参数为导出文件的目录

volatility -f image.vmem --profile=Win7SP1x64 dumpfiles -Q 0x7a09f20 -D D:\网络安全\3.渗 透实战\CTF\内存取证\volatility_2.6_win64_standalone

使用010Editor打开文件（或者notepad++也可查看相应信息）：

5.常用命令
查看用户名密码信息

volatility -f 1.vmem --profile=Win7SP1x64 hashdump

查看进程

volatility -f 1.vmem --profile=Win7SP1x64 pslist

查看服务

volatility -f 1.vmem --profile=Win7SP1x64 svcscan

查看浏览器历史记录

volatility -f 1.vmem --profile=Win7SP1x64 iehistory

查看网络连接

volatility -f 1.vmem --profile=Win7SP1x64 netscan

查看命令行操作

volatility -f 1.vmem --profile=Win7SP1x64 cmdscan

查看文件

volatility -f 1.vmem --profile=Win7SP1x64 filescan

查看文件内容

volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./

查看当前展示的notepad内容

volatility -f 1.vmem --profile=Win7SP1x64 notepad

提取进程

volatility -f 1.vmem --profile=Win7SP1x64 memdump -p xxx --dump-dir=./

屏幕截图

volatility -f 1.vmem --profile=Win7SP1x64 screenshot --dump-dir=./

查看注册表配置单元

volatility -f 1.vmem --profile=Win7SP1x64 hivelist

查看注册表键名

volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a001032410

查看注册表键值

volatility -f 1.vmem --profile=Win7SP1x64 printkey -K "xxxxxxx"

查看运行程序相关的记录，比如最后一次更新时间，运行过的次数等

volatility -f 1.vmem --profile=Win7SP1x64 userassist

最大程序提取信息

volatility -f 1.vmem --profile=Win7SP1x64 timeliner

3.CTF练习：

例如：