Volatility 的安装是真尼玛的麻烦,还好有封装好的exe版
感谢 Hello-CTF 上的内存取证模块
本文命令以 Windows 系统下的封装 Vol2.6 为准(PowerShell)
谨以此文,记录我学习内存取证的过程,那是一段充满折磨的苦痛时光
基础指令
- 查看内存镜像的基本情况
.\vol.exe -f .\ez333.raw iamgeinfo
- 获取正在运行的程序
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 pslist
- 提取正在运行的程序
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 procdump -p [PID] -D ./
- 查看CMD中执行过的命令
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 cmdscan
cmdline 更详细些
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 cmdline
- 查看浏览器历史记录,获取当前系统浏览器搜索过的关键词
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 iehistory
- 扫描所有的文件列表
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 filescan
可配合 Select-string 代替 Linux 的 grep
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 filescan | Select-string "png|jpg|gif|zip|rar|7z|pdf|txt|doc|pptx|xlex|docx"
// desktop(扫桌面)
再配合 dumpfiles 根据查出来的地址提取文件
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 dumpfiles -Q [addr] -D .\(.\代表当前文件夹)
- 恢复被删除的文件
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 mftparser
- 提取执行的命令行历史记录
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 consoles
- 查看环境变量
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 envars
- 提取进程
.\vol.exe -f .\ez333.raw --profile=Win7SP1x64 memdump -p xxx --dump-dir=./
- 查看剪切板内容
.\vol.exe -f .\chall.vmem --profile=Win7SP1x64 clipboard
- 查看强密码
.\vol.exe -f .\chall.vmem --profile=Win7SP1x64 lsadump
- 显示有关编辑控件(曾经编辑过的内容)的信息
.\vol.exe -f .\chall.vmem --profile=Win7SP1x64 editbox