Volatility安装使用

一、介绍

Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。

二、安装

1.克隆Volatility库到本地

git clone https://github.com/volatilityfoundation/volatility

image-20220827204059864

2.安装相关依赖

(1)crypto

pip2 install pycryptodome
//若安装失败,可以在切换国内源下载
pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple

这里也可能提示你没有安装pip,根据提示安装pip就行

image-20220827204219374

image-20220827204311878

(2)distorm3

git clone https://github.com/vext01/distorm3

image-20220827204359052

再使用python2进行编译

python2 setup.py install

image-20220827204641762

(3)在volatility目录下进行编译

sudo python2 setup.py install

image-20220827205001841

(4)输入vol.py测试

image-20220827205239264

三、简单命令

vol.py --help
#查看帮助

image-20220828130943251

vol.py --info
#查看插件

image-20220828131104399

四、基本使用

1.识别操作系统

vol.py -f secret.raw imageinfo

首先要进入到vol.py这个文件所在的目录下,然后把要分析的raw文件也放在这个目录下,然后再用上述命令进行分析

image-20220831104025987

一般用Suggested Profile(s)的第一个结果作为值

2.查看桌面文件

filescan命令用来扫描文件

vol.py -f secret.raw --profile=Win7SP1x64 filescan | grep 'Desk'

image-20220831104320553

3.查看进程

pslist/pstree/psscan

 vol.py -f pc.raw --profile=Win7SP1x64 pslist
#Win7SP1x64为操作系统

image-20220902140408163

4.查看终端历史输入

vol.py -f pc.raw --profile=Win7SP1x64 cmdscan

image-20220902141824356

posted @ 2022-08-31 10:46  Jinx8823  阅读(2559)  评论(1)    收藏  举报