Linux環境
apt-get install volatility
各種依賴的安裝,(視情況安裝)
#Distorm3:牛逼的反編譯庫 pip install distorm3 #Yara:惡意軟件分類工具 pip install yara #PyCrypto:加密工具集 pip install pycrypto #PIL:圖片處理庫 pip install pil #OpenPyxl:讀寫excel文件 pip install openpyxl #ujson:JSON解析 pip install ujson
Windows環境
官網下載:https://www.volatilityfoundation.org/releases
內存文件准備:
使用工具dumpit獲取內存文件 后綴名一般為 .raw .vmem .img
命令行使用:
以省賽的一道內存取證題目為例簡單介紹其使用
題目為:你熟悉瀏覽器嗎
提示:cookie
題目下載:
鏈接:https://pan.baidu.com/s/1D8O-eyI6s1URaFEd6cS7-Q 提取碼:vj8x
使用 imageinfo 插件獲取內存文件基本信息,分析出是哪個操作系統
volatility.exe imageinfo -f Browser.raw
可以看到可能的操作系統為:
Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418
這里是為了獲取profile的類型,因為不同的操作系統結構不一樣,所以后續需要使用 --profile=來指定。
imageinfo會自動猜解可能的系統類型,一般情況下第一個是正確的。
列出所有進程,指定操作系統為 Win7SP1x64
volatility.exe -f Browser.raw --profile=Win7SP1x64 pslist
題目里提到了瀏覽器和cookie,很自然想到瀏覽器進程
發現谷歌瀏覽器進程
在cmd下使用find查找所有谷歌瀏覽器進程
volatility.exe -f Browser.raw --profile=Win7SP1x64 pslist |find "chrome.exe"
接着把每一個谷歌瀏覽器進程的數據保存為dmp格式的文件(這里的PID需要自己指定
volatility.exe -f Browser.raw --profile=Win7SP1x64 memdump -p {對應的PID} -D ./
如:
最后導出為:
使用010editer查找flag逐一篩選
在2608.dmp文件中找到flag
參考鏈接:
https://flamepeak.com/2020/03/11/Linux-Forensics-Volatility-install-usage-20200322/