南昌网站建设网站推广,珠海网站建设制作设计,互联网推广引流,wordpress 摘要显示一、简介
Volatility是一款开源的内存取证分析工具#xff0c;支持Windows#xff0c;Linux#xff0c;MaC#xff0c;Android等多类型操作系统系统的内存取证方式。该工具是由python开发的#xff0c;目前支持python2、python3环境。
二、安装
1、下载地址
GitHub - …一、简介
Volatility是一款开源的内存取证分析工具支持WindowsLinuxMaCAndroid等多类型操作系统系统的内存取证方式。该工具是由python开发的目前支持python2、python3环境。
二、安装
1、下载地址
GitHub - volatilityfoundation/volatility: An advanced memory forensics framework
https://github.com/volatilityfoundation/volatility3
2、安装依赖
1 、升级pip 2、安装依赖配置环境
pip3 install -r requirements-minimal.txt
python3 setup.py build python3 setup.py install 3、安装依赖库
pip3 install -r requirements.txt 三、使用
1、获取系统基本信息
vol.py -f E:\检材二内存\memory windows.info 2、列出所有进程
vol.py -f E:\检材二内存\memory windows.pslist
vol.py -f E:\检材二内存\memory windows.pstree 3、dump出进程
vol.py -f E:\检材二内存\memory windows.pslist --pid 540 --dump 4、查看文件目录
vol.py -f E:\检材二内存\memory windows.filescan 5、查找指定后缀名的文件 6、到处具体文件内容有问题 7、查看进程命令行参数windows.cmdline.cmdline
进程号(PID)进程名称(Process)和参数(Args)三列
vol.py -f E:\检材二内存\memory windows.cmdline.CmdLine 8、查看动态链接库windows.dlllist
vol.py -f E:\检材二内存\memory windows.dlllist 9、查看账号信息windows.hashdump
10、注册表数据(windows.registry.hivelist)
11、网络连接状态(windows.netscan.NetScan)
12、服务运行状态(windows.svcscan)
13、进程环境变量(windows.envars)
14、进程缓存的文件(windows.dumpfiles)
