计算机取证volatility
带有恶意软件的内存镜像下载:https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
DumpIt v1.3.2:https://qpdownload.com/dumpit/
一、volatility v2.6
1.使用内存镜像转储工具dumpit生成内存镜像文件(.raw)或者使用虚拟机快照文件(.vmem)
2.使用imageinfo 插件获取内存镜像信息,如操作系统版本、CPU等信息。
可使用-h参数查看volatility的命令选项和支持的插件。一般使用格式:
volatility -f [image] --profile=[profile] [plugin]如下图,插件所在目录:/usr/lib/python2.7/dist-packages/volatility/plugins
volatility -f WIN7.raw imageinfo
-f:指定内存镜像文件名
imageinfo:用于识别待分析的内存镜像信息
判断完镜像后,使用--profile指定操作系统版本
3、使用netscan插件查看网络连接状态
注:不同的操作系统使用的插件可能不同
volatility -f WIN7.raw --profile=Win7SP1x64 netscan
4.查看正在运行的进程
volatility -f WIN7.raw --profile=Win7SP1x64 pstree
5.使用cmdscan提取出内存中保留的cmd命令使用情况:
6.svcscan:该插件可查看在内存镜像上注册了哪些服务
7.使用iehistory插件获取IE浏览器的缓存和历时,可查询到用户的访问连接和重定向链接等等。
8.userassist:可查看系统中已安装程序执行的次数和最后一次运行的时间
9.hivelist:打印输出注册表蜂巢的列表,包括注册表的虚拟地址以及各个注册表项的完整路径。
hivedump:打印输出指定注册表项的所有子项
printkey:打印输出指定注册表项下的所有子键及其键值 "SAM\Domains\Account\Users\Names"
"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"查看最后登录系统的用户,其中Last updated指的是该用户信息最后被修改的时间而不是最后的登录时间。
10.若想全方位地将内存中的信息提取出来,可以使用 timeliner插件,它会从多个位置来收集系统的活动信息,包括System time、IEHistory、Process、DLL等等。
11.恶意代码:malfind查找恶意代码
计算机取证volatility相关推荐
- 工具推荐:22款最流行的计算机取证工具【2017年更新版】
本文讲的是工具推荐:22款最流行的计算机取证工具[2017年更新版], 什么是计算机取证? 计算机取证(Computer Forensics,又名计算机取证技术.计算机鉴识.计算机法医学)是指运用计算 ...
- 22款受欢迎的计算机取证工具
*参考来源:infosecinstitute,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM) 计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支. ...
- 手动打开e01镜像文件并进行计算机取证
每次开始一篇新的关于取证的博客,我必须要不断重复:真实性.关联性.合法性. 1.问题引入 在上电子取证课的时候,老师展示了一道题目,大意就是怀疑张三泄漏公司机密,泄密对象为6张灵猴的图片,现在对他的电 ...
- 【计算机取证期末复习题】
单选 计算机取证是将计算机调查和分析技术应用于对潜在的,有法律效力的证据的确定与提 取.以下关于计算机取证的描述中,错误的是( ). A.计算机取证包括保护目标计算机系统.确定收集和保存电子证据,必须 ...
- 使用 Linux 工具进行计算机取证
使用 Linux 工具进行计算机取证 本文通过介绍 Linux 系统工具(Ftkimage.xmount.Volatility.dd.netcat)来介绍使用计算机取证的方法和步骤. 硬盘数据的取证是 ...
- 获取计算机内存镜像文件,计算机取证中的内存镜像获取的研究与实现
摘要: 随着计算机科学技术的迅猛发展和网络普及,以计算机信息系统为工具和j巳罪对象的各式新型j巳罪案件频繁发生,造成的巨大危害也越来越大.怎么可以最大程度地获取计算机j巳罪相关的计算机证据,将犯罪人员 ...
- 计算机中文件访问时间是什么情况,【反计算机取证必看】Windows系统中文件时间属性的变化及影响因素.pdf...
[反计算机取证必看]Windows系统中文件时间属性的变化及影响因素.pdf ·技术交流· Windows系统中文件时间属性的变化及影响因素 滕冲1,方靖然2,张国臣3(1.中国人民公安大学,北京 3 ...
- 计算机日志研究方法,基于日志的计算机取证技术研究与实现
摘要: 计算机技术的飞速发展为人类文明开启一扇新大门,它在创造巨大财富的同时,也必然伴随毁坏的发生,计算机犯罪便是其中最常见也最屡禁不止的网络犯罪行为.计算机取证技术正是在这种情况下产生并发展起来的, ...
- 计算机取证(Computer Forensic)
计算机调查取证采集篇 信息技术的高速发展,正在深刻地改变人们的生活,与此同时,人类社会对信息技术的依赖,也带来了巨大的安全风险.计算机犯罪正越来越多的在我们身边发生,这种犯罪行为包括了窃取和破坏数据. ...
- 计算机取证勘察箱工具构成研究
计算机取证勘察箱工具构成研究* 孙飞1,郭勇鸿2 1(北京市公安局石景山分局科技信息通信处, 北京市 100060) 2(北京市公安局行动技术处, 北京市 100011) 摘 要: 实现 ...
最新文章
- python廖雪峰_【Python】python中实现多进程与多线程
- sql 指定数据库中的信息操作
- 万万没想到,一个 MongoDB.Driver 的 bug 导致 .NET5 程序死锁!
- 云计算到底是谁发明的?
- 50个最有价值的数据可视化图表
- java递归 优点缺点_java编程之递归算法总结
- 常用数据结构有哪些(转)
- 【C++笔记】函数(笔记)
- Win32 Thread Information Block
- OPENWRT安装配置指南之 17.01.4 LEDE
- APP中一种在Java层实现的简单守护进程方式
- String.Format数字格式化参考
- ISO 27001:2022 中文试译稿
- 医库软件-珍立拍 成功晋级黑马大赛总决赛
- ex is not shell_linux下环境变量详解
- java 微信请求超时_java – SQL服务器“超出锁定请求超时时间”..再次
- windows 查看ip命令
- 适合玩游戏的蓝牙耳机有哪些?低延迟蓝牙耳机推荐
- 【游戏杂记】.xp3文件的解包
- 暖暖老显示连接服务器失败,闪耀暖暖登录失败原因 闪耀暖暖登录失败解决办法...