volatility2工具的使用vol2工具篇

vol2工具

命令格式：vol.py -f [image] --profile=[profile] [plugin]

1、查看系统的操作版本，系统镜像信息

2.查看用户名密码信息，当前操作系统中的password hash，例如SAM文件内容

3.从注册表提取LSA密钥信息（已解密）

这里没有，有的镜像可疑从这里直接提取到密码，flag等

4.列出系统进程，但它不能检测到隐藏或者解链的进程

5.可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程

命令没错，只是镜像中没有这个隐藏的进程

6.以树的形式查看进程列表，和pslist一样，也无法检测到隐藏或解链的进程

7.提取进程，-p是进程号，-D存储的文件夹，提取指定进程

这里是dump下来2096的进程

vol.py -f Target.mem --profile=Win7SP0x64 memdump -p xxx --dump-dir=./   //这个一样

8.查看服务，里面有内存地址，有服务名（进程名）

9.查看ie浏览器记录，这里没有浏览器记录，所以为空

10.查看网络连接，排查挖矿进程，恶意进程

11.查看历史命令记录

12.查看并过滤txt或者jpg的文件

13.提取文件

14.查看当前notepad的内容

vol.py -f Target.mem --profile=Win7SP0x64 notepad

15.查看屏幕截图

16.查看注册表单元

17.导出注册表

18.获取注册表，-K“键值” -o是索引值

19.查看运行程序相关记录

20.查看时间栈信息

21.查看剪切板信息

这里剪切板信息为空

22.恢复或被删除的文件

23.查看环境变量

24.程序版本信息

25.从内存文件中找到异常程序植入到系统的开机自启痕迹-恶意开机自启

26.使用mimikatz来查看系统密码，这里缺少插件

27.看命令行参数看它是如何启动的

28.下载内存进程exe程序，用来逆向分析，也可直接运行

29.查看数据库元数据信息

这里是提示镜像中无信息

30.检测和分析windows系统中存在API钩子

36.查看转储原子表文件内容，识别恶意窗口

37.发现潜在的恶意活动，隐藏窗口或篡改窗口资源

38.查找可能被注入或隐藏的恶意代码，看恶意进程和内存地址

39.进程虚拟地址空间的数据结构

40.如果如下则操作系统版本没错，否则会报错并提示