取证分析 | Volatility工具使用

1.Volatility功能介绍

Volatility是一款开源的内存取证分析工具，支持Windows，Linux，MaC，Android等多类型操作系统系统的内存取证方式。该工具是由python开发的，目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。

工具下载地址：https://github.com/volatilityfoundation

2.Volatility安装方式

目前作者已公布了两个版本的Volatility，Volatility2是基于py2环境，Volatility3是基于py3环境，接下来小编将带领大家分别对这两个环境进行安装。

（1）Volatility3环境的安装

首先请确保系统中已安装python3环境，安装pycrypto库函数

进入到Volatility目录，执行如下指令，即可将Volatility成功安装

>>> sudo python3 setup.py install

此时，就成功安装了Volatility3工具，可以执行如下指令查看是否安装是成功

>>> sudo python3 vol.py -h

（2）Volatility2环境的安装

首先请确保系统中已安装python2环境，安装pycrypto库函数

首先通过网站下载pycrypto安装包：https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/

注意：如果遇到报错可尝试执行如下命令，解决问题：

>>> sudo apt-get install python-dev
>>> sudo pip install setuptools
进入到Volatility目录，执行如下指令，即可将Volatility成功安装
>>> sudo python2 setup.py install

此时，就成功安装了Volatility2工具，可以执行如下指令查看是否安装是成功

>>> sudo python2 vol.py -h

3.Volatility使用方式

Volatility2的使用方法

(1) 获取系统基本信息

>>>python2 vol.py -f ../Target.vmem imageinfo

(2) 列出进程信息

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist

(3) 提取某进程文件内容

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D /

(4) 查看文件目录

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan

(5) 提取某文件内容

>>>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./

(6) 调用mimikatz抓取系统口令

>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz

Volatility3的使用方法

(1) 获取系统基本信息

>>>sudo python3 vol.py -f ../Target.vmem windows.info

(2) 列出进程信息

(3) 提取某进程文件内容

>>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump

(4) 查看文件目录

(5) 提取某文件内容(此功能存在问题，待进一步解决！)

- 往期推荐 -