0x00 基本用法

volatility [plugin] -f [image] --profile=[profile]

常用插件:

imageinfo:显示目标镜像的摘要信息
pslist:列举出系统进程,但它不能检测到隐藏或者解链的进程
psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程
iehistory: 获取浏览器历史记录
mendump:转储指定进程数据,常用foremost来分离里面的文件
filescan:扫描所有的文件列表
netscan: 查看网络连接情况
cmdscan:查看cmd历史命令
cmdline: 获取cmd输入的内容
hashdump:查看当前操作系统中的password hash,例如Windows的NTLM hash
dumpfiles:转储文件
memdump:转储进程的可寻址内存    
clipboard:提取Windows剪贴板中的内容
screenshot:Windows截图
svcscan:扫描 Windows 的服务
hivelist:打印注册表列表
hivedump:转储注册表信息
printkey:打印注册表项、子项和值

0x01 查看内存镜像信息

后续进行操作需要使用到profile参数的值

volatility -f FILE imageinfo

97511-gnq9q3tpi5a.png

0x02 获取系统进程列表

列举出系统进程,但它不能检测到隐藏或者解链的进程

volatility -f FILE --profile=系统版本 pslist

30138-atmq2f8aiae.png

可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程

volatility -f FILE --profile=系统版本 psscan

以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程

volatility -f FILE --profile=系统版本 pstree

0x03获取浏览器浏览历史

volatility -f FILE  --profile=系统版本 iehistory

89240-sh92accg0e.png

0x04 获取文件列表

volatility -f FILE  --profile=系统版本 filescan 

40246-0pryoeuc4xfn.png

0x05 查看网络连接情况

volatility -f FILE --profile=系统版本 netscan 

77523-gmfw7bq00hp.png

0x06 CMD

查看cmd历史命令

volatility -f FILE  --profile=系统版本 cmdscan 

62681-0vp0b9mto3vg.png

获取cmd输入的内容

volatility -f FILE  --profile=系统版本 cmdline

50407-agkajg3oow9.png

0x07 获取密码HASH

volatility -f FILE  --profile=系统版本 hashdump 

57695-mddtu7wn58.png

0x08 转储文件

通过filescan获取文件地址 0x000000007f2274c0

30550-g2z1gru6ais.png

将文件保存到当前目录并查看内容

volatility -f FILE  --profile=系统版本 dumpfiles -Q 0x000000007f2274c0 -D ./

57221-u3tcrl92r8.png

又或者通过PID转存

volatility -f FILE  --profile=系统版本 memdump -p 3304 -D ./

58029-8cws1nq71ia.png

0x09 剪贴板

volatility -f FILE  --profile=系统版本 clipboard

10029-9sw3qksb6g.png

0x10win截图

volatility -f FILE --profile=系统版本  screenshot -D ./ 

81150-erqwagyal0q.png

0x11 查看服务

volatility -f FILE  --profile=系统版本 svcscan

49943-b2941su31u9.png

0x12 注册表相关

获取注册表地址

volatility -f FILE  --profile=系统版本 hivelist 

88099-hy7mo9yh5y.png

查看键

volatility -f FILE  --profile=系统版本 hivedump -o 0xe1726b60

98376-4uq409a7aq4.png

查看注册表内容,获取系统用户

volatility -f FILE  --profile=系统版本 printkey -K "SAM\Domains\Account\Users\Names"

38465-wyvk416p5h.png

最后修改:2022 年 12 月 06 日
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/702.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
如果觉得我的文章对你有用,请随意赞赏