帶有惡意軟件的內存鏡像下載:https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
DumpIt v1.3.2:https://qpdownload.com/dumpit/
一、volatility v2.6
1.使用內存鏡像轉儲工具dumpit生成內存鏡像文件(.raw)或者使用虛擬機快照文件(.vmem)
2.使用imageinfo 插件獲取內存鏡像信息,如操作系統版本、CPU等信息。
可使用-h參數查看volatility的命令選項和支持的插件。一般使用格式:
volatility -f [image] --profile=[profile] [plugin]
如下圖,插件所在目錄:/usr/lib/python2.7/dist-packages/volatility/plugins
volatility -f WIN7.raw imageinfo
-f:指定內存鏡像文件名
imageinfo:用於識別待分析的內存鏡像信息
判斷完鏡像後,使用--profile指定操作系統版本
3、使用netscan插件查看網絡連接狀態
注:不同的操作系統使用的插件可能不同
volatility -f WIN7.raw --profile=Win7SP1x64 netscan
4.查看正在運行的進程
volatility -f WIN7.raw --profile=Win7SP1x64 pstree
5.使用cmdscan提取出內存中保留的cmd命令使用情況:
6.svcscan:該插件可查看在內存鏡像上註冊了哪些服務
7.使用iehistory插件獲取IE瀏覽器的緩存和歷時,可查詢到用戶的訪問連接和重定向鏈接等等。
8.userassist:可查看系統中已安裝程序執行的次數和最後一次運行的時間
9.hivelist:打印輸出註冊表蜂巢的列表,包括註冊表的虛擬地址以及各個註冊表項的完整路徑。
hivedump:打印輸出指定註冊表項的所有子項
printkey:打印輸出指定註冊表項下的所有子鍵及其鍵值 "SAM\Domains\Account\Users\Names"
"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"查看最後登錄系統的用戶,其中Last updated指的是該用戶信息最後被修改的時間而不是最後的登錄時間。
10.若想全方位地將內存中的信息提取出來,可以使用 timeliner插件,它會從多個位置來收集系統的活動信息,包括System time、IEHistory、Process、DLL等等。
10.惡意代碼: