2021-09-27 网安实验-取证分析-内存取证之Volatility

关于volatility

Volatility是开源的Windows，Linux，MaC，Android的内存取证分析工具，由python编写成，命令行操作，支持各种操作系统。

注册表
注册表是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。早在Windows 3.0推出OLE技术的时候，注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。

启动后看到的supported flugin command都是volatility可用的插件

左边是插件的命令右边是插件的效果

所有的操作系统都将信息存储在RAM，然后不同的操作系统可能存储在不同的路径下，在volatility中，根据操作系统的不同，我们必须选择合适的profile来帮助volatility识别数据存储的位置以及有用的信息

为了选择格式的profile，我们先用imageinfo插件查看一下系统的版本等信息

volatility -f cridex.vmem imagein
  

 

文章来源: codeboy.blog.csdn.net，作者：愚公搬代码，版权归原作者所有，如需转载，请联系作者。

原文链接：codeboy.blog.csdn.net/article/details/120510004