volatility常用命令
参考
1 | https://wiki.wgpsec.org/knowledge/ctf/Volatility.html#%E5%B8%B8%E7%94%A8%E5%91%BD%E4%BB%A4 |
volatility2
常用模块 #
| 插件名称 | 功能 |
|---|---|
| amcache | 查看AmCache应用程序痕迹信息 |
| apihooks | 检测内核及进程的内存空间中的API hook |
| atoms | 列出会话及窗口站atom表 |
| atomscan | Atom表的池扫描(Pool scanner) |
| auditpol | 列出注册表HKLMSECURITYPolicyPolAdtEv的审计策略信息 |
| bigpools | 使用BigPagePoolScanner转储大分页池(big page pools) |
| bioskbd | 从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码) |
| cachedump | 获取内存中缓存的域帐号的密码哈希 |
| callbacks | 打印全系统通知例程 |
| clipboard | 提取Windows剪贴板中的内容 |
| cmdline | 显示进程命令行参数 |
| cmdscan | 提取执行的命令行历史记录(扫描_COMMAND_HISTORY信息) |
| connections | 打印系统打开的网络连接(仅支持Windows XP 和2003) |
| connscan | 打印TCP连接信息 |
| consoles | 提取执行的命令行历史记录(扫描_CONSOLE_INFORMATION信息) |
| crashinfo | 提取崩溃转储信息 |
| deskscan | tagDESKTOP池扫描(Poolscaner) |
| devicetree | 显示设备树信息 |
| dlldump | 从进程地址空间转储动态链接库 |
| dlllist | 打印每个进程加载的动态链接库列表 |
| driverirp | IRP hook驱动检测 |
| drivermodule | 关联驱动对象至内核模块 |
| driverscan | 驱动对象池扫描 |
| dumpcerts | 提取RAS私钥及SSL公钥 |
| dumpfiles | 提取内存中映射或缓存的文件 |
| dumpregistry | 转储内存中注册表信息至磁盘 |
| editbox | 查看Edit编辑控件信息 (Listbox正在实验中) |
| envars | 显示进程的环境变量 |
| eventhooks | 打印Windows事件hook详细信息 |
| evtlogs | 提取Windows事件日志(仅支持XP/2003) |
| filescan | 提取文件对象(file objects)池信息 |
| gahti | 转储用户句柄(handle)类型信息 |
| gditimers | 打印已安装的GDI计时器(timers)及回调(callbacks) |
| gdt | 显示全局描述符表(Global Deor Table) |
| getservicesids | 获取注册表中的服务名称并返回SID信息 |
| getsids | 打印每个进程的SID信息 |
| handles | 打印每个进程打开的句柄的列表 |
| hashdump | 转储内存中的Windows帐户密码哈希(LM/NTLM) |
| hibinfo | 转储休眠文件信息 |
| hivedump | 打印注册表配置单元信息 |
| hivelist | 打印注册表配置单元列表 |
| hivescan | 注册表配置单元池扫描 |
| hpakextract | 从HPAK文件(Fast Dump格式)提取物理内存数据 |
| hpakinfo | 查看HPAK文件属性及相关信息 |
| idt | 显示中断描述符表(Interrupt Deor Table) |
| iehistory | 重建IE缓存及访问历史记录 |
| imagecopy | 将物理地址空间导出原生DD镜像文件 |
| imageinfo | 查看/识别镜像信息 |
| impscan | 扫描对导入函数的调用 |
| joblinks | 打印进程任务链接信息 |
| kdbgscan | 搜索和转储潜在KDBG值 |
| kpcrscan | 搜索和转储潜在KPCR值 |
| ldrmodules | 检测未链接的动态链接DLL |
| lsadump | 从注册表中提取LSA密钥信息(已解密) |
| machoinfo | 转储Mach-O 文件格式信息 |
| malfind | 查找隐藏的和插入的代码 |
| mbrparser | 扫描并解析潜在的主引导记录(MBR) |
| memdump | 转储进程的可寻址内存 |
| memmap | 打印内存映射 |
| messagehooks | 桌面和窗口消息钩子的线程列表 |
| mftparser | 扫描并解析潜在的MFT条目 |
| moddump | 转储内核驱动程序到可执行文件的示例 |
| modscan | 内核模块池扫描 |
| modules | 打印加载模块的列表 |
| multiscan | 批量扫描各种对象 |
| mutantscan | 对互斥对象池扫描 |
| notepad | 查看记事本当前显示的文本 |
| objtypescan | 扫描窗口对象类型对象 |
| patcher | 基于页面扫描的补丁程序内存 |
| poolpeek | 可配置的池扫描器插件 |
| printkey | 打印注册表项及其子项和值 |
| privs | 显示进程权限 |
| procdump | 进程转储到一个可执行文件示例 |
| pslist | 按照EPROCESS列表打印所有正在运行的进程 |
| psscan | 进程对象池扫描 |
| pstree | 以树型方式打印进程列表 |
| psxview | 查找带有隐藏进程的所有进程列表 |
| qemuinfo | 转储Qemu 信息 |
| raw2dmp | 将物理内存原生数据转换为windbg崩溃转储格式 |
| screenshot | 基于GDI Windows的虚拟屏幕截图保存 |
| servicediff | Windows服务列表(ala Plugx) |
| sessions | _MM_SESSION_SPACE的详细信息列表(用户登录会话) |
| shellbags | 打印Shellbags信息 |
| shimcache | 解析应用程序兼容性Shim缓存注册表项 |
| shutdowntime | 从内存中的注册表信息获取机器关机时间 |
| sockets | 打印已打开套接字列表 |
| sockscan | TCP套接字对象池扫描 |
| ssdt | 显示SSDT条目 |
| strings | 物理到虚拟地址的偏移匹配(需要一些时间,带详细信息) |
| svcscan | Windows服务列表扫描 |
| symlinkscan | 符号链接对象池扫描 |
| thrdscan | 线程对象池扫描 |
| threads | 调查_ETHREAD 和_KTHREADs |
| timeliner | 创建内存中的各种痕迹信息的时间线 |
| timers | 打印内核计时器及关联模块的DPC |
| truecryptmaster | 恢复TrueCrypt 7.1a主密钥 |
| truecryptpassphrase | 查找并提取TrueCrypt密码 |
| truecryptsummary | TrueCrypt摘要信息 |
| unloadedmodules | 打印卸载的模块信息列表 |
| userassist | 打印注册表中UserAssist相关信息 |
| userhandles | 转储用户句柄表 |
| vaddump | 转储VAD数据为文件 |
| vadinfo | 转储VAD信息 |
| vadtree | 以树形方式显示VAD树信息 |
| vadwalk | 显示遍历VAD树 |
| vboxinfo | 转储Virtualbox信息(虚拟机) |
| verinfo | 打印PE镜像中的版本信息 |
| vmwareinfo | 转储VMware VMSS/VMSN 信息 |
| volshell | 内存镜像中的shell |
| windows | 打印桌面窗口(详细信息) |
| wintree | Z顺序打印桌面窗口树 |
| wndscan | 池扫描窗口站 |
| yarascan | 以Yara签名扫描进程或内核内存 |
常用命令 #
| 功能 | 命令行及参数 |
|---|---|
| 查看进程列表 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 pslist |
| 查看进程列表(树形) | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 pstree |
| 查看进程列表(psx视图) | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 psxview |
| 查看网络通讯连接 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 netscan |
| 查看加载的动态链接库 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 dlllist |
| 查看SSDT表 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 ssdt |
| 查看UserAssist痕迹 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 userassist |
| 查看ShimCache痕迹 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 shimcache |
| 查看ShellBags | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 shellbags |
| 查看服务列表 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 svcscan |
| 查看Windows帐户hash | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 hashdump |
| 查看最后关机时间 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 shutdowntime |
| 查看IE历史记录 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 iehistory |
| 提取注册表数据 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 dumpregistry |
| 解析MFT记录 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 mftparser |
| 导出MFT记录,恢复文件 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 mftparser –output-file=mftverbose.txt -D mftoutput |
| 获取TrueCrypt密钥信息 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 truecryptmaster |
| 获取TrueCrypt密码信息 | python2 vol.py -f Win7_SP1_x86.vmem –profile=Win7SP1x86 truecryptpassphras |
Volatility3
banners.Banners
识别linux镜像的banner信息
不识别windows的镜像
isfinfo.IsfInfo
确定当前可用的ISF文件
具体什么是ISF文件,我也没查到
如下
layerwriter.LayerWriter
Runs the automagics and writes out the primary layer produced by the stacker.
运行 automagics 并写出堆栈器产生的主层
timeliner.Timeliner
Runs all relevant plugins that provide time related information and orders the results by time.
运行所有提供时间相关信息并按时间排序结果的相关插件,简称,全自动洗衣机
windows.cachedump.Cachedump
Dumps lsa secrets from memory
从内存中转储 lsa 密码
我这是转储失败了
windows.callbacks.Callbacks
Lists kernel callbacks and notification routines.
列出内核回调和通知例程
windows.cmdline.CmdLine
Lists process command line arguments.
列出进程命令行参数
windows.crashinfo.Crashinfo
windows.dlllist.DllList
Lists the loaded modules in a particular windows memory image.
列出加载的dll
windows.driverirp.DriverIrp
List IRPs for drivers in a particular windows memory image.
列出Windows 镜像中驱动程序的 IRP
windows.driverscan.DriverScan
Scans for drivers present in a particular windows memory image.
扫描存在于 Windows 镜像中的驱动程序
windows.dumpfiles.DumpFiles
Dumps cached file contents from Windows memory samples.
从 Windows 内存中转储缓存的文件内容,文件夹要爆了
windows.envars.Envars
Display process environment variables
显示进程环境变量
windows.filescan.FileScan
Scans for file objects present in a particular windows memory image.
扫描文件
windows.getservicesids.GetServiceSIDs
Lists process token sids.
windows.getsids.GetSIDs
Print the SIDs owning each process
列出每个进程的sid
windows.handles.Handles
Lists process open handles.
列出进程打开的句柄
windows.hashdump.Hashdump
Dumps user hashes from memory
获取哈希
windows.info.Info
Show OS & kernel details of the memory sample being analyzed.
获取系统内核信息
windows.lsadump.Lsadump
Dumps lsa secrets from memory
从内存中转储 lsa 密码
和cachedump一样的解释,但是执行的结果却不一样
windows.malfind.Malfind
Lists process memory ranges that potentially contain injected code.
列出可能包含注入代码的进程内存范围
windows.memmap.Memmap
Prints the memory map
打印内存映射
windows.modscan.ModScan
Scans for modules present in a particular windows memory image.
扫描 Windows 内存映像中存在的模块
windows.modules.Modules
Lists the loaded kernel modules.
列出加载的内核模块
windows.mutantscan.MutantScan
Scans for mutexes present in a particular windows memory image.
扫描特定 Windows 内存映像中存在的互斥锁,游戏多开用的就是mutex
windows.netscan.NetScan
Scans for network objects present in a particular windows memory image.
扫描存在于 Windows 内存映像中的网络对象
windows.netstat.NetStat
Traverses network tracking structures present in a particular windows memory image.
遍历 Windows 内存映像中存在的网络状态
就像执行了netstat -ano 一样
windows.poolscanner.PoolScanner
A generic pool scanner plugin.
windows.privileges.Privs
Lists process token privileges
windows.pslist.PsList
Lists the processes present in a particular windows memory image.
windows.psscan.PsScan
Scans for processes present in a particular windows memory image.
就像在linux中执行了ps一样
windows.pstree.PsTree
Plugin for listing processes in a tree based on their parent process ID.
根据父进程 ID 在树中列出进程的插件
反正我是没有看出来树形结构体现在哪
windows.registry.certificates.Certificates
Lists the certificates in the registry’s Certificate Store.
列出注册表的证书存储中的证书
windows.registry.hivelist.HiveList
Lists the registry hives present in a particular memory image.
列出内存映像中存在的注册表配置
windows.registry.hivescan.HiveScan
Scans for registry hives present in a particular windows memory image.
扫描 windows 中存在的注册表配置单元
windows.registry.printkey.PrintKey
Lists the registry keys under a hive or specific key value.
列出配置单元或特定键值下的注册表项
windows.registry.userassist.UserAssist
Print userassist registry keys and information.
打印 userassist 注册表项和信息
windows.skeleton_key_check.Skeleton_Key_Check
Looks for signs of Skeleton Key malware
寻找 Skeleton Key 恶意软件的迹象
windows.ssdt.SSDT
Lists the system call table.
列出系统调用表
windows.statistics.Statistics
统计数据
windows.strings.Strings
Reads output from the strings command and indicates which process(es) each string belongs to.
读取 strings 命令的输出并指示每个字符串属于哪个进程
已尽力,卒。
windows.svcscan.SvcScan
Scans for windows services.
服务扫描
windows.symlinkscan.SymlinkScan
Scans for links present in a particular windows memory image.
扫描存在于 Windows 内存映像中的链接
windows.vadinfo.VadInfo
Lists process memory ranges.
列出进程内存范围
windows.verinfo.VerInfo
Lists version information from PE files.
列出 PE 文件的版本信息
windows.virtmap.VirtMap
Lists virtual mapped sections.
列出虚拟映射section
总结
一直在路上
