devbox
很楠不爱3
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

取证之内存取证工具Volatility学习_vol 取证 iexplore 信息

作者:很楠不爱3 | 2024-05-12 01:08:32

vol 取证 iexplore 信息

一、简介

Volatility是一款开源的内存取证分析工具,支持WindowsLinuxMaCAndroid等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2python3环境。

二、安装

1、下载地址

GitHub - volatilityfoundation/volatility: An advanced memory forensics framework

https://github.com/volatilityfoundation/volatility3

2、安装依赖

1 、升级pip

2、安装依赖,配置环境

pip3 install -r requirements-minimal.txt

python3 setup.py build 
python3 setup.py install

3、安装依赖库

pip3 install -r requirements.txt

三、使用

1、获取系统基本信息

vol.py -f E:\检材二内存\memory windows.info

2、列出所有进程

vol.py -f E:\检材二内存\memory windows.pslist

vol.py -f E:\检材二内存\memory windows.pstree

3、dump出进程

vol.py -f E:\检材二内存\memory windows.pslist --pid 540 --dump

4、查看文件目录

vol.py -f E:\检材二内存\memory windows.filescan

5、查找指定后缀名的文件

6、到处具体文件内容(有问题)

7、查看进程命令行参数(windows.cmdline.cmdline)

进程号(PID),进程名称(Process)和参数(Args)三列

vol.py -f E:\检材二内存\memory windows.cmdline.CmdLine

8、查看动态链接库(windows.dlllist)

vol.py -f E:\检材二内存\memory windows.dlllist

9、查看账号信息(windows.hashdump)

10、注册表数据(windows.registry.hivelist)

11、网络连接状态(windows.netscan.NetScan)

12、服务运行状态(windows.svcscan)

13、进程环境变量(windows.envars)

14、进程缓存的文件(windows.dumpfiles)

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/556922
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号