Volatility
最近突然对内存取证感兴趣了,所以在刷misc题。说到内存取证那肯定绕不开Volatility这个神器。自己安装的时候遇到了比较多问题,最后搞了一个下午才装好。而且特别神奇,最后一次装的时候,全程无报错。记录一下吧。
安装(kali2023.1):
1.1 安装pip2
Kali Python2.7安装pip2和模块方法_kali安装pip2_huayimu的博客-CSDN博客
#安装setuptools-18.5
wget https://pypi.python.org/packages/source/s/setuptools/setuptools-18.5.tar.gz
(在本地起一个.py文件,把所有内容复制粘贴到本地)
tar -zxvf setuptools-18.5.tar.gz
cd setuptools-18.5/
sudo python2 setup.py build
sudo python2 setup.py install
#安装pip2
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
sudo python2 get-pip.py 1.2 下载distorm3和volatility(github上直接搜了下载zip)
然后解压,将distorm3放在volatility-master目录下
cd进distorm下,编译
python2 setup.py install
cd回到上一层,编译
python2 setup.py install
这两步注意位置和顺序
1.3 安装自带插件
python -m pip install yara
python -m pip install openpyxl
python -m pip install ujson
python -m pip install construct
1.4 安装mimikatz插件
将mimikatz.py放入plugins下
然后更新两个包
pip2 install --upgrade pip setuptools
pip2 install construct==2.5.5-reupload注意使用这种外加的插件时,必须得用python2 vol.py来运行
python2 vol.py -f {filename} --profile={version} mimikatz
常用指令
#分析镜像信息
vol.py -f {filename} imageinfo
#
vol.py -f {filename} --profile={version} hashdump
#
vol.py -f {filename} --profile={version} lsadump
#使用mimikatz破解开机密码
python2 vol.py -f {filename} --profile={version} mimikatz
#分析进程
vol.py -f {filename} --profile={version} pstree
#关键词筛选进程
vol.py -f {filename} --profile={version} pstree | grep 'lsass'
#导出进程
vol.py -f {filename} --profile={version} memdump -p {pid} -D {./path}
#查看活跃端口
vol.py -f {filename} --profile={version} connections
#查看进程监听端口
vol.py -f {filename} --profile={version} sockets
#分析dll
vol.py -f {filename} --profile={version} dlllist -p{pid}
#查看隐藏的dll
vol.py -f {filename} --profile={version} ldrmoudles -p{pid}
#找出未注入的代码和dll
vol.py -f {filename} --profile={version} malfind -p{pid}
#导出注册表
vol.py -f {filename} --profile={version} dumpregistry
#文件扫描
vol.py -f {filename} --profile={version} filescan|grep {'keyword'}
#下载对应文件
vol.py -f {filename} --profile={version} dumpfiles -Q {文件地址} -D {./path}使用时要注意可疑进程:
比如notepad++、cmd
总之是一些能画能写能留记录的进程。