volatility内存取证学习

工具下载：

Linux环境

?

1	apt-get install volatility

各种依赖的安装，（视情况安装）

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

#Distorm3:牛逼的反编译库 pip install distorm3 ​ #Yara:恶意软件分类工具 pip install yara ​ #PyCrypto:加密工具集 pip install pycrypto ​ #PIL:图片处理库 pip install pil ​ #OpenPyxl:读写excel文件 pip install openpyxl ​ #ujson:JSON解析 pip install ujson

Windows环境

官网下载：https://www.volatilityfoundation.org/releases

内存文件准备：

使用工具dumpit获取内存文件 后缀名一般为 .raw .vmem .img

 

命令行使用：

以省赛的一道内存取证题目为例简单介绍其使用

题目为：你熟悉浏览器吗

提示：cookie

题目下载：

链接：https://pan.baidu.com/s/1D8O-eyI6s1URaFEd6cS7-Q 提取码：vj8x

使用 imageinfo 插件获取内存文件基本信息，分析出是哪个操作系统

volatility.exe imageinfo -f Browser.raw

可以看到可能的操作系统为：

Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418

这里是为了获取profile的类型，因为不同的操作系统结构不一样，所以后续需要使用 --profile=来指定。

imageinfo会自动猜解可能的系统类型，一般情况下第一个是正确的。

列出所有进程，指定操作系统为 Win7SP1x64

volatility.exe -f Browser.raw --profile=Win7SP1x64 pslist

题目里提到了浏览器和cookie，很自然想到浏览器进程

发现谷歌浏览器进程

在cmd下使用find查找所有谷歌浏览器进程

volatility.exe -f Browser.raw --profile=Win7SP1x64 pslist |find "chrome.exe"

接着把每一个谷歌浏览器进程的数据保存为dmp格式的文件（这里的PID需要自己指定

volatility.exe -f Browser.raw --profile=Win7SP1x64 memdump -p {对应的PID} -D ./

如：

最后导出为：

使用010editer查找flag逐一筛选

在2608.dmp文件中找到flag

 

参考链接：

https://flamepeak.com/2020/03/11/Linux-Forensics-Volatility-install-usage-20200322/

https://www.cnblogs.com/zaqzzz/p/10350989.html

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/13648660.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！