内存取证工具Volatility学习
更新时间:2022.08.11
微信公众号:乌鸦安全
说明
本文参考了一下资料,感谢各位师傅的帮助:
https://github.com/volatilityfoundation/volatility
https://www.volatilityfoundation.org/
https://www.cnblogs.com/Junglezt/p/16027761.html (主要参考)
https://www.freebuf.com/articles/database/266738.html
1. Volatility介绍
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。
参考:http://www.hackdig.com/09/hack-484669.htm
volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。
参考:https://www.cnblogs.com/Junglezt/p/16027761.html
可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令
imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数
pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以
pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
cmdscan:可用于查看终端记录
notepad:查看当前展示的 notepad 文本(–profile=winxp啥的低版本可以,win7的不行,可以尝试使用editbox)
filescan:扫描所有的文件列表
linux配合 grep 命令进行相关字符定向扫描,如:grep flag、grep -E ‘png|jpg|gif|zip|rar|7z|pdf|txt|doc’
dumpfiles:导出某一文件(指定虚拟地址)
需要指定偏移量 -Q 和输出目录 -D
memdump:提取出指定进程,常用foremost 来分离里面的文件
需要指定进程-p [pid] 和输出目录 -D
editbox:显示有关编辑控件(曾经编辑过的内容)的信息
screenshot:保存基于GDI窗口的伪截屏
clipboard:查看剪贴板信息
iehistory:检索IE浏览器历史记录
systeminfo:显示关于计算机及其操作系统的详细配置信息(插件)
hashdump:查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容(mimikatz插件可以获取系统明文密码)
mftparser:恢复被删除的文件
svcscan:扫描 Windows 的服务
connscan:查看网络连接
envars:查看环境变量
dlllist: 列出某一进程加载的所有dll文件
hivelist: 列出所有的注册表项及其虚拟地址和物理地址
timeliner: 将所有操作系统事件以时间线的方式展开
————————————————
版权声明:本文为CSDN博主「南腩男」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/m0_53183117/article/details/122443367
2. Volatility安装
目前作者已公布了两个版本的Volatility,Volatility2是基于py2环境,Volatility3是基于py3环境,目前可以在github上下载安装,也可以直接在官网下载直接运行:
github环境:
https://github.com/volatilityfoundation/volatility
官网直接下载使用:
https://www.volatilityfoundation.org/
直接下载可执行文件直接运行:
安装的话,可以从github或者官网下载,利用python2进行安装,也可以直接下载编译好的可执行文件直接运行,在这里因为我的kali出了一点问题,所以直接下载mac版的可执行文件运行。
文件下载的话,不要使用Chrome版,下载不下来,需要使用其他的浏览器来下载。
在这里使用命令看下:./volatility_2.6_mac64_standalone -h
3. volatility使用
在这里以分析vm虚拟机的镜像文件为例:
在这复制下winserver2003的vm暂停文件:
3.1 获取内存镜像版本信息
使用方法是:volatility -f 文件名 imageinfo
直接使用命令分析:
./volatility -f 2003.vmem imageinfo
当前可以分析出来结果:
$ ./volatility -f 2003.vmem imageinfo
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win2003SP0x86, Win2003SP1x86, Win2003SP2x86
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAddressSpace (/Users/crow/Security/crow_tools/19_取证/volatility_2.6_mac64_standalone/2003.vmem)
PAE type : PAE
DTB : 0x503000L
KDBG : 0x8088e3e0L
Number of Processors : 1
Image Type (Service Pack) : 2
KPCR for CPU 0 : 0xffdff000L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2022-08-09 10:30:16 UTC+0000
Image local date and time : 2022-08-09 18:30:16 +0800
3.2 pslist 列出内存中的进程
可以列出内存中运行的进程的pid,ppid等信息
volatility -f 镜像名 --profile=第一步获取的版本信息 pslist
在第一步获取的是Win2003SP0x86,所以命令组合以下就是:
./volatility -f 2003.vmem --profile=Win2003SP0x86 pslist
但是命令执行之后,并未获取到有效的进程信息:
在这里将镜像版本信息更换一下再试试:
./volatility -f 2003.vmem --profile=Win2003SP1x86 pslist
3.3 导出指定进程 memdump
在我们pslist会后,会给出进程的PID,只需要指定PID就可以将进程导出
当前svchost的进程为1256,运行命令为:
./volatility -f 2003.vmem --profile=Win2003SP1x86 memdump -p 1256 -D ./result
导出的文件名进程的PID,后缀名为dmp
可以使用strings -e l 2616.dmp | grep flag,筛选其中的flag
-e为选择字符的大小,l为32bit为一个字符
这段不是我的
[
3.4 查看网络netscan
该命令无法在2003上使用
换一个win7的试试:
获取win7的镜像信息:
获取网络:
./volatility -f win7.vmem --profile=Win7SP1x64 netscan
3.5 列出缓存在内存中的注册表 hivelist
./volatility -f win7.vmem --profile=Win7SP1x64 hivelist
3.6 扫描内存中的文件 filescan
./volatility -f win7.vmem --profile=Win7SP1x64 filescan
列出的文件会非常的多:
可以使用grep命令来查找自己需要的:
需要加上-E参数
./volatility -f win7.vmem --profile=Win7SP1x64 filescan | grep -E "txt\|jpg\|png" # 在linux|mac情况下使用
volatility -f win7.vmem --profile=Win7SP1x64 filescan | findstr "txt\|jpg\|png" # 在Windows下使用
3.7 导出内存中的文件 dumpfiles
在这里需要3.6中找到的文件的内存地址来导出:
./volatility -f win7.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007ce78f20 -D ./ -u
-Q:指定文件在内存中的地址
-D:指定文件导出的地址
-u:指定原文件名导出(不咋好用)
在这里导出的时候,发现win7无法成功,导出的文件均为0kb
在这里使用winserver2003成功:
./volatility -f 2003.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x0000000002e58150 -D ./ -u
3.8 历史命令cmdscan
./volatility -f win7.vmem --profile=Win7SP1x64 cmdscan # 没记录
./volatility -f 2003.vmem --profile=Win2003SP1x86 cmdscan
3.9 获取截图 screenshot
这里面的截图是黑白的:
./volatility -f win7.vmem --profile=Win7SP1x64 screenshot -D ./result
图片如下:
3.10 列出用户名 pringkey
./volatility -f 2003.vmem --profile=Win2003SP2x86 printkey -K "SAM\Domains\Account\Users\Names"
3.11 列出hash信息 hashdump
在这里也可以看到用户名信息
./volatility -f 2003.vmem --profile=Win2003SP2x86 hashdump
3.12 获取主机名 printkey
./volatility -f 2003.vmem --profile=Win2003SP2x86 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
3.13 获取系统浏览器历史 iehistory
./volatility -f win7.vmem --profile=Win7SP1x64 iehistory
3.14 列出PE|程序版本信息 verinfo
./volatility -f 2003.vmem --profile=Win2003SP1x86 verinfo
3.15 editbox 查看内存中记事本的内容
./volatility -f 2003.vmem --profile=Win2003SP1x86 editbox
