Volatility同其他工具一樣,-h查看相關文檔幫助(windows下和linux下都可使用)
由於此工具功能過於全面,所以對於工具使用的背后,分析人員所需要的基本功要求很高(顯然我不行:) 所以目前只學習幾個較為常用簡單的功能語句,后續當有相對應的分析任務時,會根據任務情況進行對應的講解學習(涉密文件除外)
為了方便學習,之前通過dumpit工具dump下虛擬機的win7系統內存鏡像
以下所有命令全部環繞此鏡像學習
-
-f :指定分析文件
-
imageinfo:查詢對應鏡像文件的系統信息
在做分析之前要對XX鏡像文件的系統信息進行確認,之后的每次命令查詢都要告訴Volatility操作系統信息
接着在指定操作系統信息后,第一個接觸進程信息
-
--profile=XXXXX :表示操作系統
pslist 查看進程(插件)
與pslist相對應的還有pstree 可以查看進程結構圖
查看注冊表的蜂巢文件:hivelist
對於感興趣的蜂巢根目錄,可以對其進行dump
-
hivedump -o 內存地址
在dump時要注意,因為是內存鏡像,所以要指定dump蜂巢的內存地址,而內存地址的選擇要注意是內存虛地址。用-o表示
對於感興趣的注冊表鍵值,可以對注冊表鍵值進行查詢
-
printkey -K "SAM\Domains\Account\Users\Names"
-
userassist 查詢在系統上運行的進程運行的時間,運行的次數
-
dump進程內存:memdump -p 進程PID -D 路徑
在配合strings工具進行字符串搜索匹配
-
yarascan -y fm.yara :當然也可以根據一些可疑字符串進行全盤內存的搜索匹配,利用寫好的yara規則進行匹配
簡答的匹配yara文件
-
cmdscan 查看cmd歷史記錄
volatility.exe cmdscan -f 1.raw --profile=Win7SP1x64
-
查看網絡情況
volatility.exe netscan -f 1.raw --profile=Win7SP1x64
-
根據網絡連接情況檢查SID: getsids -p 進程PID 查看哪些用戶對特定進程有權限
例如svchost是沒有system權限,如果發現svchost中有system權限則為可疑進程
-
調用庫文件dll :dlldist -p 進程PID 根據導入的庫文件進行篩選
-
直觀的查看可能是惡意程序 malfind -p 進程ID -D 保存到某路徑
malfind -D 保存路徑 將可疑的進程保存至本機用殺軟查殺