1-1. Volatility3簡(jiǎn)介

Volatility 是一個(gè)完全開源的工具，用于從內(nèi)存 (RAM) 樣本中提取數(shù)字工件。支持Windows，Linux，MaC，Android等多類型操作系統(tǒng)系統(tǒng)的內(nèi)存取證。
針對(duì)競(jìng)賽這塊（CTF、技能大賽等）基本上都是用在Misc方向的取證題上面，很多沒有聽說過或者不會(huì)用這款工具的同學(xué)在打比賽的時(shí)候就很難受。
以前很多賽項(xiàng)都是使用vol2.6都可以完成，但是由于操作系統(tǒng)更新，部分系統(tǒng)2.6已經(jīng)不支持了，如：Win10 等鏡像，而Volatility3是支持這些新版本操作系統(tǒng)的。

Volatility3和Volatility2用法差不多，但不需要指定profile。只是插件調(diào)用方式改變，特定的操作系統(tǒng)有特定的插件。

培訓(xùn)、環(huán)境、資料、考證
公眾號(hào)：Geek極安云科
網(wǎng)絡(luò)安全群：624032112
網(wǎng)絡(luò)系統(tǒng)管理群：223627079 
網(wǎng)絡(luò)建設(shè)與運(yùn)維群：870959784 

極安云科專注于技能提升，賦能
2024年廣東省高校的技能提升，受賦能的客戶院校均獲獎(jiǎng)！
2024年江蘇省賽一二等獎(jiǎng)前13名中，我們賦能客戶占五支隊(duì)伍！
2024年湖南省賽賦能三所院校均獲獎(jiǎng)！
2024年山東省賽賦能兩所院校均獲獎(jiǎng)！
2024年湖北省賽賦能參賽院校九支隊(duì)伍，共計(jì)斬獲一等獎(jiǎng)2項(xiàng)、三等獎(jiǎng)7項(xiàng)!

2-1 Volatility3在Linux下的安裝方法

2-1-1. Volatility3 Kali Linux下安裝教程

極安云科專注技能競(jìng)賽，包含網(wǎng)絡(luò)建設(shè)與運(yùn)維和信息安全管理與評(píng)估兩大賽項(xiàng)，及各大CTF，基于兩大賽項(xiàng)提供全面的系統(tǒng)性培訓(xùn)，擁有完整的培訓(xùn)體系。團(tuán)隊(duì)擁有國(guó)賽選手、大廠在職專家等專業(yè)人才擔(dān)任講師，培訓(xùn)效果顯著，通過培訓(xùn)幫助各大院校備賽學(xué)生取得各省 國(guó)家級(jí)獎(jiǎng)項(xiàng)，獲各大院校一致好評(píng)。

Volatility2.6是基于Python2來實(shí)現(xiàn)的，而Volatility3的基于Python3來實(shí)現(xiàn)的，所以我們需要Python3的環(huán)境，推薦在kali下配置，因?yàn)閗ali自帶Python2和Python3的環(huán)境。

該項(xiàng)目目前在Github上的開源項(xiàng)目地址以及官網(wǎng)：
https://github.com/volatilityfoundation/volatility3
https://www.volatilityfoundation.org/releases-vol3

Volatility 3需要Python 3.7.0或更高版本。要安裝最少量的依賴項(xiàng)集（某些插件無法工作），請(qǐng)使用以下命令：

pip3 install -r requirements-minimal.txt

或者，當(dāng)使用setup.py安裝Volatility 3時(shí)，將自動(dòng)安裝最低限度的軟件包。但是，如下面的“快速入門”部分所述，在使用Volatility3之前，不需要通過setup.py安裝它。

解釋：當(dāng)使用setup.py安裝Volatility 3時(shí)，相當(dāng)于最小化安裝，很多插件不裝，而需要全量安裝的話需要使用pip來進(jìn)行所有插件的安裝

python3 setup.py build 
python3 setup.py install

要啟用Volatility 3的全部功能，請(qǐng)使用下面這樣的命令。對(duì)于部分功能，請(qǐng)?jiān)谶\(yùn)行命令之前，在requirements.txt中注釋掉任何不必要的包。

pip3 install -r requirements.txt

2-1-2.下載Volatility

Volatility的最新穩(wěn)定版本將始終是GitHub存儲(chǔ)庫(kù)的穩(wěn)定分支。您可以使用以下命令獲取最新版本的代碼：

git clone https://github.com/volatilityfoundation/volatility3.git

快速入門

從GitHub克隆最新版本的Volatility：

git clone https://github.com/volatilityfoundation/volatility3.git

請(qǐng)參閱可用選項(xiàng)：

python3 vol.py -h

要獲得有關(guān)Windows內(nèi)存示例的更多信息并確保Volatility支持該示例類型，請(qǐng)運(yùn)行

python3 vol.py -f ＜imagepath＞ Windows.info

示例：

python3 vol.py -f /home/user/samples/stuxnet.vem windows.info

運(yùn)行一些其他插件。-f或–single位置不是嚴(yán)格要求的，但大多數(shù)插件都需要一個(gè)樣本。有些人還要求/接受其他選擇。
運(yùn)行python3 vol.py ＜plugin＞ -h以獲取有關(guān)特定命令的更多信息。文章來源地址http://www.zghlxwxcb.cn/news/detail-860409.html

3-1. 常用命令以及語法

python3 vol.py -f [image] [plugin]

常用插件：
    windows.info：顯示正在分析的內(nèi)存樣本的OS和內(nèi)核詳細(xì)信息
    windows.callbacks：列出內(nèi)核回調(diào)和通知例程
    windows.cmdline：列出進(jìn)程命令行參數(shù)
    windows.dlldump：將進(jìn)程內(nèi)存范圍DLL轉(zhuǎn)儲(chǔ)
    windows.dlllist：列出Windows內(nèi)存映像中已加載的dll模塊
    windows.driverirp：在Windows內(nèi)存映像中列出驅(qū)動(dòng)程序的IRP
    windows.driverscan：掃描Windows內(nèi)存映像中存在的驅(qū)動(dòng)程序
    windows.filescan：掃描Windows內(nèi)存映像中存在的文件對(duì)象
    windows.handles：列出進(jìn)程打開的句柄
    windows.malfind：列出可能包含注入代碼的進(jìn)程內(nèi)存范圍
    windows.moddump：轉(zhuǎn)儲(chǔ)內(nèi)核模塊
    windows.modscan：掃描Windows內(nèi)存映像中存在的模塊
    windows.mutantscan：掃描Windows內(nèi)存映像中存在的互斥鎖
    windows.pslist：列出Windows內(nèi)存映像中存在的進(jìn)程
    windows.psscan：掃描Windows內(nèi)存映像中存在的進(jìn)程
    windows.pstree：列出進(jìn)程樹
    windows.procdump：轉(zhuǎn)儲(chǔ)處理可執(zhí)行映像
    windows.registry.certificates：列出注冊(cè)表中存儲(chǔ)的證書
    windows.registry.hivelist：列出內(nèi)存映像中存在的注冊(cè)表配置單元
    windows.registry.hivescan：掃描Windows內(nèi)存映像中存在的注冊(cè)表配置單元
    windows.registry.printkey：在配置單元或特定鍵值下列出注冊(cè)表項(xiàng)
    windows.registry.userassist：打印用戶助手注冊(cè)表項(xiàng)和信息
    windows.ssdt：列出系統(tǒng)調(diào)用表
    windows.strings：讀取字符串命令的輸出，并指示每個(gè)字符串屬于哪個(gè)進(jìn)程
    windows.svcscan：掃描Windows服務(wù)
    windows.symlinkscan：掃描Windows內(nèi)存映像中存在的鏈接
    layerwriter：列出內(nèi)存鏡像platform信息
    linux.bash：從內(nèi)存中恢復(fù)bash命令歷史記錄
    linux.check_afinfo：驗(yàn)證網(wǎng)絡(luò)協(xié)議的操作功能指針
    linux.check_syscall：檢查系統(tǒng)調(diào)用表中的掛鉤
    linux.elfs：列出所有進(jìn)程的所有內(nèi)存映射ELF文件
    linux.lsmod：列出加載的內(nèi)核模塊
    linux.lsof：列出所有進(jìn)程的所有內(nèi)存映射
    linux.malfind：列出可能包含注入代碼的進(jìn)程內(nèi)存范圍
    linux.proc：列出所有進(jìn)程的所有內(nèi)存映射
    linux.pslist：列出linux內(nèi)存映像中存在的進(jìn)程
    linux.pstree：列出進(jìn)程樹
    mac.bash：從內(nèi)存中恢復(fù)bash命令歷史記錄
    mac.check_syscall：檢查系統(tǒng)調(diào)用表中的掛鉤
    mac.check_sysctl：檢查sysctl處理程序的掛鉤
    mac.check_trap_table：檢查trap表中的掛鉤
    mac.ifconfig：列出網(wǎng)卡信息
    mac.lsmod：列出加載的內(nèi)核模塊
    mac.lsof：列出所有進(jìn)程的所有內(nèi)存映射
    mac.malfind：列出可能包含注入代碼的進(jìn)程內(nèi)存范圍
    mac.netstat：列出所有進(jìn)程的所有網(wǎng)絡(luò)連接
    mac.psaux：恢復(fù)程序命令行參數(shù)
    mac.pslist：列出linux內(nèi)存映像中存在的進(jìn)程
    mac.pstree：列出進(jìn)程樹
    mac.tasks：列出Mac內(nèi)存映像中存在的進(jìn)程
  

到了這里，關(guān)于Volatility3內(nèi)存取證工具安裝及入門在Linux下的安裝教程的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！