Volatility 取证总结

前言

近期才打完蓝帽杯，发现基本上自己除了取证啥也不会，完完全全成了取证大赛…于是计划总结一下比赛过程中所用到的volatility取证有关的知识点

有关命令

命令格式：volatility -f [文件名] --profile=[dump的系统版本] [命令]

volatility -f [文件名] imageinfo #检测目标系统信息

volatility -f [文件名] imageinfo #获取dump的版本

volatility -f [文件名] --profile=[dump的系统版本] pslist #查看运行的进程信息

volatility -f [文件名] --profile=[dump的系统版本] psscan #获取一些隐藏文件进程信息

volatility -f [文件名] --profile=[dump的系统版本] filescan #扫描内存中的文件

volatility -f [文件名] --profile=[dump的系统版本] hivelist #列举缓存在内存中的注册表

volatility -f [文件名] --profile=[dump的系统版本] printkey -K "SAM\Domains\Account\Users\Names" #查看系统用户名

volatility -f [文件名] --profile=[dump的系统版本] filescan  #查看文件列表

volatility -f [文件名] --profile=[dump的系统版本] dumpfile -Q 0x000007 -D dir #下载感兴趣的文件，#dir你保存的路径

volatility -f [文件名] --profile=[dump的系统版本] procdump -Q 0x000007 -D dir

volatility -f [文件名] --profile=[dump的系统版本] hashdump #提取系统的账号密码

volatility -f [文件名] --profile=[dump的系统版本] netscan | grep ESTABLISHED #查看网络通信连接

volatility -f [文件名] --profile=[dump的系统版本] cmdscan #查看cmd历史记录

volatility -f [文件名] --profile=[dump的系统版本] memdump -p 352 -D dir ./ #导出nc进程传输的文件，352为nc的进程号 dir 为保存的路径

foremost 352.dmp #分割dmp文件

volatility -f [文件名] --profile=[dump的系统版本] filescan  #查找镜像中的文件

volatility -f [文件名] --profile=[dump的系统版本] userassist #查看userassist键值包含系统或桌面执行文件的信息，如名称、路径、执行次数、最后一次执行时间等

volatility -f [文件名] --profile=[dump的系统版本] clipboard # 获取剪切板中的数据

volatility -f [文件名] --profile=[dump的系统版本] hivelist # 获取注册表信息