目錄
簡介
volatility 框架是一個完全開源的工具集合,在GNU通用公共許可證下以Python實現,用於從存儲器(RAM)樣本中提取數字信息。提取技術的執行完全獨立於正在調查的系統,但提供了進入系統運行時狀態的可見性。該框架旨在向人們介紹與提取數字信息相關的技術和複雜性,其支持的操作系統也非常廣泛,同時支持 windows,linux,Mac OSX,甚至也支持 Android 手機使用ARM處理器的取證,是目前最受歡迎的取證工具之一,目前最新版本是2.6。
使用要求
Python 2.6或更高版本,但不是3.0。
安裝
在Kali Linux中可直接使用apt-get install volatility進行安裝,也可以直接下載源碼然後執行python setup.py install或執行python vol.py直接使用。
基本用法
volatility [plugin] -f [image] --profile=[profile]
常用插件:
imageinfo:顯示目標鏡像的摘要信息
pslist:列舉出系統進程,但它不能檢測到隱藏或者解鏈的進程
psscan:可以找到先前已終止(不活動)的進程以及被rootkit隱藏或解鏈的進程
pstree:以樹的形式查看進程列表,和pslist一樣,也無法檢測隱藏或解鏈的進程
mendump:轉儲指定進程數據,常用foremost來分離裏面的文件
filescan:掃描所有的文件列表
dumpfiles:轉儲文件
svcscan:掃描 Windows 的服務
connscan:查看網絡連接
hivelist:打印註冊表列表
hivedump:轉儲註冊表信息
printkey:打印註冊表項、子項和值
screenshot:Windows截圖
hashdump:查看當前操作系統中的password hash,例如Windows的NTLM hash
實例
首先需要獲取內存映象文件的信息,使用volatility -f windows7.vmem imageinfo查看windows7.vmem文件的信息,如圖:
獲取到profile之後獲取系統進程列表,使用volatility -f windows7.vmem --profile Win7SP1x64 pslist,如圖:
同樣可以使用psscan和pstree插件,如圖:
轉儲進程explorer.exe,對應PID爲1496,使用volatility -f windows7.vmem --profile Win7SP1x64 memdump -p 1496 -D ./將進程轉儲到當前目錄,如圖:
可以結合binwalk和foremost工具分析並提取文件,如圖:
掃描系統中的文件,可以結合grep命令進行篩選, 使用volatility -f windows7.vmem --profile Win7SP1x64 filescan | grep -E "jpg|png|jpeg",如圖:
轉儲文件img23.jpg,使用volatility -f windows7.vmem --profile Win7SP1x64 dumpfiles -Q 0x000000007cc71990 -D ./,如圖:
掃描windows服務,使用volatility -f windows7.vmem --profile Win7SP1x64 svcscan,如圖:
打印註冊表信息,使用volatility -f windows7.vmem --profile Win7SP1x64 hivelist,如圖:
查看註冊表\REGISTRY\MACHINE\SAM的信息,使用volatility -f windows7.vmem --profile Win7SP1x64 hivedump -o 0xfffff8a003fb4410,如圖:
查看註冊表項SAM\Domains\Account的子項和值,使用,如圖:
獲取操作系統狀態截圖,使用volatility -f windows7.vmem --profile Win7SP1x64 screenshot -D ./,如圖:
獲取操作系統NTLM hash,使用volatility -f windows7.vmem --profile Win7SP1x64 hashdump,如圖:
更多用法
完整用法請閱讀官方Wiki。