内存取证Volatility
适用于.vmem、.raw、.mem、.bin、.core文件。
项目地址:https://github.com/volatilityfoundation/volatility
| 功能 | 命令 | 说明 |
|---|---|---|
| 获取内存镜像信息 | vol.py -f Challenge.raw imageinfo | 获取操作系统版本、架构、时间等,辅助选择 profile |
| 查看进程列表 | vol.py -f Challenge.raw --profile=Win7SP1x64 pslist | 显示进程 ID、名称、父进程 ID 等信息 |
| 提取进程内存映像 | vol.py -f Challenge.raw --profile=Win7SP1x64 procdump -p 2728 -D ./ | 提取指定 PID 的进程映像 |
| 查看终端执行的命令 | vol.py -f Challenge.raw --profile=Win7SP1x64 cmdscan | 显示在命令行中执行的命令 |
| 查看进程命令行参数 | vol.py -f Challenge.raw --profile=Win7SP1x64 cmdline | 获取进程启动时的命令及参数 |
| 搜索内存中文件 | vol.py -f Challenge.raw --profile=Win7SP1x64 filescan | grep hint.txt | 查找 hint.txt 所在内存位置 |
| 提取内存中文件 | vol.py -f Challenge.raw --profile=Win7SP1x64 dumpfiles -Q 0x地址 -D ./ | 根据地址提取文件,文件名包含地址 |
| 查看浏览器历史 | vol.py -f Challenge.raw --profile=Win7SP1x64 iehistory | 提取 IE 浏览器历史记录 |
| 提取密码 Hash 值 | vol.py -f Challenge.raw --profile=Win7SP1x64 hashdump | 导出用户密码哈希,可用于破解 |
| 使用 mimikatz 提取密码 | vol.py -f Challenge.raw --profile=Win7SP1x64 mimikatz | 获取明文密码及凭据 |
| 查看剪贴板内容 | vol.py -f Challenge.raw --profile=Win7SP1x64 clipboard | 获取复制过的内容 |
| 查看服务信息 | vol.py -f Challenge.raw --profile=Win7SP1x64 svcscan | 显示服务名、状态、类型等 |
| 查看网络连接 | vol.py -f Challenge.raw --profile=Win7SP1x64 netscan | 显示本地/远程 IP、端口、PID 等 |
| 查看注册表键值 | vol.py -f Challenge.raw --profile=Win7SP1x64 printkey | 查看指定路径下注册表项内容 |
| 获取注册表地址 | vol.py -f Challenge.raw --profile=Win7SP1x64 hivelist | 显示注册表虚拟地址 |
| 导出注册表内容 | vol.py -f Challenge.raw --profile=Win7SP1x64 hivedump -o 0xffff... | 根据地址导出注册表内容 |
| 查看注册表用户信息 | vol.py -f Challenge.raw --profile=Win7SP1x64 printkey -K "SAM\\...\\Names" | 查看本地用户账户名称及 SID |
| 导出全部注册表 | vol.py -f Challenge.raw --profile=Win7SP1x64 dumpregistry -D ./ | 批量导出整个注册表数据 |