在学习volalitity的过程中,发现国内相关资源还是很有限的,并且没有一个综合的使用教程,一般都是指令不全或者没有其他的使用介绍(如添加插件,手动制作profile等),所以我在学习的过程中把用到的资源整理了一下,方便大家学习,如果有问题,欢迎各位师傅一起讨论。相关工具已经放入每日一练的工具箱里
对于使用volalitity的建议和常见问题:
建议1.在进行内存取证的时候将vol2和vol3进行结合使用,vol2能弥补3插件不足,3能弥补2的速度慢,但在做题的过程中,需要两个结合使用。
建议2.在搭建环境的时候,最好将linux和windows的环境都配置好,如果能有一台linux机器配置的话更好,但是更建议使用wsl来实现双系统的vol使用,尤其将Linux的一些管道指令用在输出结果中,有奇效。
常见问题1.在配置linux的python2的时候可以看这个:kali linux 中python2不带pip的解决方法python2没有pip程序员届的小白菜的博客-CSDN博客
常见问题2.没有Python.h库,要安装相应的python环境,可以看这个:解决fatal error: Python.h: No such file or directory报错_呆萌的代Ma的博客-CSDN博客
常见问题3.没有Crypto.Hash库文件,在python中,Crypto库是pycrypto,使用方法可以看:今日排错---开发者平台加签pthon报错修复 - 骁珺在努力 - 博客园
vol官方的插件
GitHub - volatilityfoundation/volatility: An advanced memory forensics framework
vol的下载地址
Release Downloads | Volatility Foundation
vol2和vol3各种指令对比
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet
vol2的常用指令
内存取证-volatility工具的使用 (史上更全教程,更全命令)_路baby的博客-CSDN博客
vol2的各种外置插件
volatility2各类外部插件使用简介volatility插件Blus.King的博客-CSDN博客
手动添加profile
Linux内存取证制作Volatility的专属profile - 简书
可以解析mac和linux内存的插件
vol2:
https://github.com/volatilityfoundation/profiles
vol3:
https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip
https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip
https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip
本文对上面网站内容进行翻译和整理,整合出了下面的Volalitity的使用指南
Volalitity的使用指南
1.操作系统信息查看
vol2:
./vol.py -f file.dmp imageinfo
vol3:
./vol.py -f file.dmp windows.info.Info
在 vol3 中可以使用插件 banners.Banners 尝试在转储文件中找到 Linux 系统的标识信息。
2.哈希值/密码提取: SAM 哈希、域缓存凭据和 LSA 密码
vol2:
./vol.py --profile=Win7SP1x86_23418 hashdump -f file.dmp #获取常见的 Windows 哈希(SAM+SYSTEM)
./vol.py --profile=Win7SP1x86_23418 cachedump -f file.dmp #提取注册表中的域缓存哈希
./vol.py --profile=Win7SP1x86_23418 lsadump -f file.dmp #提取 LSA 密码
vol3:
./vol.py -f file.dmp windows.hashdump.Hashdump #获取常见的 Windows 哈希(SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #提取注册表中的域缓存哈希
./vol.py -f file.dmp windows.lsadump.Lsadump #提取 LSA 密码
3.内存转储
vol2:
./vol.py -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/
进程的内存转储将提取进程当前状态的所有内容。而 procdump 模块只会提取代码。
4.进程信息
列出进程
尝试查找可疑进程(通过名称)或意外的子进程(例如,cmd.exe 作为 iexplorer.exe 的子进程)。将 pslist 的结果与 psscan 的结果进行比较,以识别隐藏的进程。
vol2:
volatility --profile=PROFILE pstree -f file.dmp # 获取进程树(非隐藏)
volatility --profile=PROFILE pslist -f file.dmp # 获取进程列表(EPROCESS)
volatility --profile=PROFILE psscan -f file.dmp # 获取隐藏进程列表(恶意软件)
volatility --profile=PROFILE psxview -f file.dmp # 获取隐藏进程列表
vol3:
python3 vol.py -f file.dmp windows.pstree.PsTree # 获取进程树(非隐藏)
python3 vol.py -f file.dmp windows.pslist.PsList # 获取进程列表(EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # 获取隐藏进程列表(恶意软件)
转储进程
vol2:
volatility --profile=Win7SP1x86_23418 procdump --pid=3152 -n --dump-dir=. -f file.dmp
vol3:
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory
命令行
vol2:
volatility --profile=PROFILE cmdline -f file.dmp # 显示进程命令行参数
volatility --profile=PROFILE consoles -f file.dmp # 通过扫描 _CONSOLE_INFORMATION 获取命令历史
vol3:
python3 vol.py -f file.dmp windows.cmdline.CmdLine # 显示进程命令行参数
在 cmd.exe
中执行的命令由 **conhost.exe**
(或者在 Windows 7 之前的系统中是 csrss.exe
)管理。这意味着,如果 **cmd.exe**
被攻击者在获取内存转储之前终止,仍然可以从 **conhost.exe**
的内存中恢复该会话的命令历史。为此,如果检测到控制台模块中的异常活动,应转储与之关联的 **conhost.exe**
进程的内存。然后,通过在此转储中搜索字符串,可以提取会话中使用的命令行。
环境变量
获取每个正在运行的进程的环境变量。
vol2:
volatility --profile=PROFILE envars -f file.dmp [--pid <pid>] # 显示进程的环境变量
volatility --profile=PROFILE -f file.dmp linux_psenv [-p <pid>] # 获取进程的环境变量。runlevel 变量表示进程启动时的运行级别
vol3:
python3 vol.py -f file.dmp windows.envars.Envars [--pid <pid>] # 显示进程的环境变量
Token privileges
检查意外服务中的权限令牌。列出使用某些权限令牌的进程。
vol2:
# 获取某些进程的启用权限
volatility --profile=Win7SP1x86_23418 privs --pid=3152 -f file.dmp | grep Enabled
# 获取所有具有权限的进程
volatility --profile=Win7SP1x86_23418 privs -f file.dmp | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"
vol3:
# 获取某些进程的启用权限
python3 vol.py -f file.dmp windows.privileges.Privs [--pid <pid>]
# 获取所有具有权限的进程
python3 vol.py -f file.dmp windows.privileges.Privs | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"
SIDs
检查每个进程拥有的 SSID。列出使用权限 SID(或使用某些服务 SID)的进程。
vol2:
volatility --profile=Win7SP1x86_23418 getsids -f file.dmp # 获取每个进程拥有的 SID
volatility --profile=Win7SP1x86_23418 getservicesids -f file.dmp # 获取每个服务的 SID
vol3:
./vol.py -f file.dmp windows.getsids.GetSIDs [--pid <pid>] # 获取进程的 SID
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs # 获取服务的 SID
句柄
了解进程拥有的句柄(已打开的文件、注册表项、线程、进程等)。
vol2:
volatility --profile=Win7SP1x86_23418 -f file.dmp handles [--pid=<pid>]
vol3:
vol.py -f file.dmp windows.handles.Handles [--pid <pid>]
DLLs
vol2:
volatility --profile=Win7SP1x86_23418 dlllist --pid=3152 -f file.dmp # 获取进程使用的 dlls
volatility --profile=Win7SP1x86_23418 dlldump --pid=3152 --dump-dir=. -f file.dmp # 转储进程使用的 dlls
vol3:
./vol.py -f file.dmp windows.dlllist.DllList [--pid <pid>] # 列出每个进程使用的 dlls
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> # 转储进程的 .exe 和 dll 文件到当前目录
按进程查看字符串
Volatility 可以检查字符串属于哪个进程。
vol2:
strings file.dmp > /tmp/strings.txt
volatility -f /tmp/file.dmp windows.strings.Strings --string-file /tmp/strings.txt
volatility -f /tmp/file.dmp --profile=Win81U1x64 memdump -p 3532 --dump-dir .
strings 3532.dmp > strings_file
vol3:
strings file.dmp > /tmp/strings.txt
./vol.py -f /tmp/file.dmp windows.strings.Strings --strings-file /tmp/strings.txt
它还允许使用 yarascan 模块在进程中搜索字符串:
vol2:
volatility --profile=Win7SP1x86_23418 yarascan -Y "https://" -p 3692,3840,3976,3312,3084,2784
vol3:
./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-rules "https://" --pid 3692 3840 3976 3312 3084 2784
./vol.py -f file.dmp yarascan.YaraScan --yara-rules "https://"
UserAssist
Windows 使用注册表中的 UserAssist 键 追踪你运行过的程序。这些键记录每个程序执行的次数以及最后一次运行的时间。
vol2:
volatility --profile=Win7SP1x86_23418 -f file.dmp userassist
vol3:
./vol.py -f file.dmp windows.registry.userassist.UserAssist
5.服务
vol2:
# 获取服务和二进制路径
volatility --profile=Win7SP1x86_23418 svcscan -f file.dmp
# 获取服务的名称和SID(较慢)
volatility --profile=Win7SP1x86_23418 getservicesids -f file.dmp
vol3:
./vol.py -f file.dmp windows.svcscan.SvcScan # 列出服务
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs # 获取服务的SID
6.网络
vol2:
volatility --profile=Win7SP1x86_23418 netscan -f file.dmp
volatility --profile=Win7SP1x86_23418 connections -f file.dmp # XP 和 2003 仅适用
volatility --profile=Win7SP1x86_23418 connscan -f file.dmp # TCP 连接
volatility --profile=Win7SP1x86_23418 sockscan -f file.dmp # 打开的套接字
volatility --profile=Win7SP1x86_23418 sockets -f file.dmp # 扫描 TCP 套接字对象
volatility --profile=SomeLinux -f file.dmp linux_ifconfig
volatility --profile=SomeLinux -f file.dmp linux_netstat
volatility --profile=SomeLinux -f file.dmp linux_netfilter
volatility --profile=SomeLinux -f file.dmp linux_arp # ARP 表
volatility --profile=SomeLinux -f file.dmp linux_list_raw # 使用混杂模式原始套接字的进程(进程间通信)
volatility --profile=SomeLinux -f file.dmp linux_route_cache
vol3:
./vol.py -f file.dmp windows.netscan.NetScan
7. 注册表
打印可用的注册表 Hive
vol2:
volatility --profile=Win7SP1x86_23418 -f file.dmp hivelist # 列出根项
volatility --profile=Win7SP1x86_23418 -f file.dmp printkey # 列出根项并获取初始子项
vol3:
./vol.py -f file.dmp windows.registry.hivelist.HiveList # 列出根项
./vol.py -f file.dmp windows.registry.printkey.PrintKey # 列出根项并获取初始子项
获取一个注册表值
vol2:
volatility --profile=Win7SP1x86_23418 printkey -K "Software\Microsoft\Windows NT\CurrentVersion" -f file.dmp
# 获取“运行”二进制注册表值
volatility -f file.dmp --profile=Win7SP1x86 printkey -o 0x9670e9d0 -K 'Software\Microsoft\Windows\CurrentVersion\Run'
vol3:
./vol.py -f file.dmp windows.registry.printkey.PrintKey --key "Software\Microsoft\Windows NT\CurrentVersion"
转储注册表
vol2:
# 转储一个 Hive
volatility --profile=Win7SP1x86_23418 hivedump -o 0x9aad6148 -f file.dmp # 从 hivelist 获取偏移量
# 转储所有的 Hive
volatility --profile=Win7SP1x86_23418 hivedump -f file.dmp
vol3:
暂无
8. 文件系统
挂载
vol2:
volatility --profile=SomeLinux -f file.dmp linux_mount
volatility --profile=SomeLinux -f file.dmp linux_recover_filesystem # 如果可能,转储整个文件系统
vol3:
扫描/转储文件
vol2:
volatility --profile=Win7SP1x86_23418 filescan -f file.dmp # 扫描转储中的文件
volatility --profile=Win7SP1x86_23418 dumpfiles -n --dump-dir=/tmp -f file.dmp # 转储所有文件
volatility --profile=Win7SP1x86_23418 dumpfiles -n --dump-dir=/tmp -Q 0x000000007dcaa620 -f file.dmp
volatility --profile=SomeLinux -f file.dmp linux_enumerate_files
volatility --profile=SomeLinux -f file.dmp linux_find_file -F /path/to/file
volatility --profile=SomeLinux -f file.dmp linux_find_file -i 0xINODENUMBER -O /path/to/dump/file
vol3:
./vol.py -f file.dmp windows.filescan.FileScan # 扫描转储中的文件
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --physaddr <0xAAAAA> # 从上一个命令获取的偏移地址
主文件表
vol2:
volatility --profile=Win7SP1x86_23418 mftparser -f file.dmp
vol3:
暂无
NTFS 文件系统使用一个关键组件,称为主文件表(MFT)。该表至少为每个文件提供一个条目,也包括 MFT 本身。每个文件的关键信息,如大小、时间戳、权限以及实际数据,通常会在 MFT 条目中或通过 MFT 条目引用的外部区域中封装。有关更多细节,可以参考官方文档。
SSL 密钥/证书
vol2:
# vol2 允许从内存中搜索和转储证书
# 此模块的选项包括:--pid, --name, --ssl
volatility --profile=Win7SP1x86_23418 dumpcerts --dump-dir=. -f file.dmp
vol3:
# vol3 允许从注册表中搜索证书
./vol.py -f file.dmp windows.registry.certificates.Certificates
下面内容来自:盘古石虎贲小队文章:https://mp.weixin.qq.com/s/Nzo0CnsbWVOiw1Nr8swpfg
9.加密容器解密
tc内存解密
使用volatility分析内存镜像来识别加密容器文件
Volatility是专门用于分析内存镜像的工具,在Volatility中,用于分析TrueCrypt的插件主要有三个:truecryptmaster、truecryptpassphrase、truecryptsummary。
Truecryptmaster:用于从内存镜像中恢复TrueCrypt 7.1a主密钥;
Truecryptpassphrase:用于从内存镜像中查找缓存密码;
Truecryptsummary:TrueCrypt摘要。
执行命令“volatility -f DESKTOP-D7AP30M-20200605-082800.raw --profile Win10x64_14393 truecryptsummary”如下图所示:
在上图中,不仅分析到了TrueCrypt的进程PID和加密容器文件路径、文件名,还可以分析出加密容器挂载的盘符和容器内的文件。
bitlocker解密
1)下载安装bitlocker.py
下载链接:https://github.com/tribalchicken/volatility-bitlocker
下载后将bitlocker.py放入kali虚拟机的/usr/lib/python2.7/dist-packages/volatility/plugins目录下。
2)下载安装bdemount
在kali里执行sudo add-apt-repository universe和sudo apt install libbde-utils即可自动完成bdemount的安装,安装后在命令行输入bdemount后会有返回。Bdemount的具体用法如下:
bdemount [-k keys] [-o offset] [-p password] [-r password] -s filename [-hvV] source
参数:
-k 密钥,例如:FVEK:TWEAK
-o 以字节为单位指定卷偏移
-p 指定密码
-r 指定恢复密码
-s 指定包含启动密钥的文件,该文件扩展名为.BEK
3)在kali里通过volatility与bitlocker.py插件提取内存镜像内的FVEK和TWEAK,执行命令 “volatility -f memdump.mem --profile=Win7SP1x64 bitlocker”,执行完成后科技获取到FVEK为:0d393d80bf512f5e501a8bfad3272965,TWEAK为:cf71859b45775123fcc1dad3007d1c41,如下图所示:
提取FVEK和TWEAK
4)使用bdemount命令挂载Bitlocker加密分区,执行命令“bdemount -k 0d393d80bf512f5e501a8bfad3272965:cf71859b45775123fcc1dad3007d1c41 D.dd ./crypt-1”,如下图所示:
挂载Bitlocker加密容器
5)通过bdemount挂载后,可在挂载点crypt-1下得到的文件bde1,这个文件是一个整体文件,需要二次挂载,执行命令“sudo mount.ntfs-3g -o loop,ro crypt-1/bde1 crypt-2/”即可挂载,因为Bitlocker是Windows自带加密容器,文件系统格式为NTFS,因此需要使用“mount.ntfs-3g”挂载,二次挂载后,在挂载点crypt2下就可以得到Bitlocker加密容器内的文件,如下图所示:
手动解密后的Bitlocker加密分区
6)至此,Bitlocker手动解密全部完成。
综上所示,我们在进行Bitlocker取证时,可以通过查看系统分区图标、签名标识“-FVE-FS-”和取证工具来识别Bitlocker加密容器。Bitlocker的取证主要可以通过密码解密、恢复密钥解密和内存镜像解密。
10.恶意软件分析
vol2:
volatility --profile=Win7SP1x86_23418 -f file.dmp malfind [-D /tmp] # 查找隐藏和注入的代码 [转储每个可疑部分]
volatility --profile=Win7SP1x86_23418 -f file.dmp apihooks # 检测进程和内核内存中的 API 挂钩
volatility --profile=Win7SP1x86_23418 -f file.dmp driverirp # 驱动 IRP 挂钩检测
volatility --profile=Win7SP1x86_23418 -f file.dmp ssdt # 检查系统调用地址是否来自意外地址
volatility --profile=SomeLinux -f file.dmp linux_check_afinfo
volatility --profile=SomeLinux -f file.dmp linux_check_creds
volatility --profile=SomeLinux -f file.dmp linux_check_fop
volatility --profile=SomeLinux -f file.dmp linux_check_idt
volatility --profile=SomeLinux -f file.dmp linux_check_syscall
volatility --profile=SomeLinux -f file.dmp linux_check_modules
volatility --profile=SomeLinux -f file.dmp linux_check_tty
volatility --profile=SomeLinux -f file.dmp linux_keyboard_notifiers # 键盘记录器
vol3:
./vol.py -f file.dmp windows.malfind.Malfind [--dump] # 查找隐藏和注入的代码,[转储每个可疑部分]
# Malfind 会搜索与恶意软件相关的可疑结构
./vol.py -f file.dmp windows.driverirp.DriverIrp # 驱动 IRP 挂钩检测
./vol.py -f file.dmp windows.ssdt.SSDT # 检查系统调用地址是否来自意外地址
./vol.py -f file.dmp linux.check_afinfo.Check_afinfo # 验证网络协议的操作函数指针
./vol.py -f file.dmp linux.check_creds.Check_creds # 检查是否有进程共享凭据结构
./vol.py -f file.dmp linux.check_idt.Check_idt # 检查 IDT 是否已被修改
./vol.py -f file.dmp linux.check_syscall.Check_syscall # 检查系统调用表是否有挂钩
./vol.py -f file.dmp linux.check_modules.Check_modules # 比较模块列表与 sysfs 信息(如果可用)
./vol.py -f file.dmp linux.tty_check.tty_check # 检查 tty 设备是否有挂钩
使用 YARA 扫描
使用此脚本从 GitHub 下载并合并所有 YARA 恶意软件规则:https://gist.github.com/andreafortuna/29c6ea48adf下面是安装方法
vol2:
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
volatility --profile=Win7SP1x86_23418 yarascan -y malware_rules.yar -f ch2.dmp | grep "Rule:" | grep -v "Str_Win32" | sort | uniq
vol3:
wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
#Only Windows
./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-file /tmp/malware_rules.yar
#All
./vol.py -f file.dmp yarascan.YaraScan --yara-file /tmp/malware_rules.yar
11. 其他工具
外部插件
如果您想使用外部插件,请确保插件文件夹是第一个参数。
vol2:
volatilitye --plugins="/tmp/plugins/" [...]
vol3:
./vol.py --plugin-dirs "/tmp/plugins/" [...]
自动运行(Autoruns)
Download it from https://github.com/tomchop/volatility-autoruns
volatility --plugins=volatility-autoruns/ --profile=WinXPSP2x86 -f file.dmp autoruns
互斥锁(Mutexes)
vol2:
volatility --profile=Win7SP1x86_23418 mutantscan -f file.dmp
volatility --profile=Win7SP1x86_23418 -f file.dmp handles -p <PID> -t mutant
vol3:
./vol.py -f file.dmp windows.mutantscan.MutantScan
符号链接(Symlinks)
vol2:
volatility --profile=Win7SP1x86_23418 -f file.dmp symlinkscan
vol3:
./vol.py -f file.dmp windows.symlinkscan.SymlinkScan
Bash 历史
可以 从内存中读取 Bash 历史。虽然您也可以转储 .bash_history 文件,但由于它被禁用,您可以使用此 Volatility 模块。
vol2:
volatility --profile=Win7SP1x86_23418 -f file.dmp linux_bash
vol3:
./vol.py -f file.dmp linux.bash.Bash
时间线(TimeLine)
vol2:
volatility --profile=Win7SP1x86_23418 -f timeliner
vol3:
./vol.py -f file.dmp timeLiner.TimeLiner
驱动程序(Drivers)
vol2:
volatility --profile=Win7SP1x86_23418 -f file.dmp driverscan
vol3:
./vol.py -f file.dmp windows.driverscan.DriverScan
获取剪贴板内容
vol2:
#Just vol2
volatility --profile=Win7SP1x86_23418 clipboard -f file.dmp
vol3:
暂无
获取 Internet Explorer 历史
vol2:
#Just vol2
volatility --profile=Win7SP1x86_23418 iehistory -f file.dmp
vol3:
暂无
获取记事本文本
vol2:
#Just vol2
volatility --profile=Win7SP1x86_23418 notepad -f file.dmp
vol3:
暂无
截屏(Screenshot)
vol2:
#Just vol2
volatility --profile=Win7SP1x86_23418 screenshot -f file.dmp
vol3:
暂无
主引导记录(MBR)
vol2:
volatility --profile=Win7SP1x86_23418 mbrparser -f file.dmp
vol3:
暂无
主引导记录(MBR) 在管理存储介质的逻辑分区中扮演着至关重要的角色。它不仅包含分区布局信息,还包含作为引导加载程序的可执行代码。该引导加载程序要么直接启动操作系统的二阶段加载过程(参见 二阶段引导加载程序),要么与每个分区的 卷引导记录(VBR)协同工作。如需深入了解,请参阅 MBR 维基页面。
vol2默认插件一览
amcache:输出 AmCache 信息
apihooks:检测进程和内核内存中的 API 钩子
atoms:打印会话和窗口工作站的原子表
atomscan:扫描原子表的内存池
auditpol:输出 HKLM\SECURITY\Policy\PolAdtEv 中的审计策略
bigpools:使用 BigPagePoolScanner 转储大页面池
bioskbd:从实模式内存读取键盘缓冲区
cachedump:从内存中转储域缓存哈希
callbacks:输出系统范围的通知例程
clipboard:提取 Windows 剪贴板内容
cmdline:显示进程的命令行参数
cmdscan:通过扫描 _COMMAND_HISTORY 提取命令历史
connections:输出开放连接列表(仅适用于 Windows XP 和 2003)
connscan:扫描 TCP 连接的内存池
consoles:通过扫描 _CONSOLE_INFORMATION 提取命令历史
crashinfo:转储崩溃转储信息
deskscan:扫描 tagDESKTOP(桌面)的内存池
devicetree:显示设备树
dlldump:从进程地址空间转储 DLL
dlllist:输出每个进程加载的 DLL 列表
driverirp:检测驱动 IRP 钩子
drivermodule:将驱动对象与内核模块关联
driverscan:扫描驱动对象的内存池
dumpcerts:转储 RSA 私钥和公钥 SSL 密钥
dumpfiles:提取内存映射和缓存文件
dumpregistry:将注册表文件转储到磁盘
editbox:显示编辑控件的信息(Listbox 实验性)
envars:显示进程的环境变量
eventhooks:输出 Windows 事件钩子的详细信息
evtlogs:提取 Windows 事件日志(仅限 XP/2003)
filescan:扫描文件对象的内存池
gahti:转储 USER 句柄类型信息
gditimers:输出已安装的 GDI 定时器和回调
gdt:显示全局描述符表
getservicesids:获取注册表中的服务名称并返回计算的 SID
getsids:输出拥有每个进程的 SID
handles:输出每个进程的开放句柄列表
hashdump:从内存中转储密码哈希(LM/NTLM)
hibinfo:转储休眠文件信息
hivedump:输出注册表 hive 信息
hivelist:输出注册表 hive 列表
hivescan:扫描注册表 hive 的内存池
hpakextract:从 HPAK 文件中提取物理内存
hpakinfo:输出 HPAK 文件的信息
idt:显示中断描述符表
iehistory:重建 Internet Explorer 缓存/历史记录
imagecopy:将物理地址空间复制为原始 DD 镜像
imageinfo:识别镜像的信息
impscan:扫描导入函数的调用
joblinks:输出进程作业链接信息
kdbgscan:搜索并转储潜在的 KDBG 值
kpcrscan:搜索并转储潜在的 KPCR 值
ldrmodules:检测未链接的 DLL
lsadump:从注册表转储(解密的)LSA 机密
machoinfo:转储 Mach-O 文件格式信息
malfind:查找隐藏和注入的代码
mbrparser:扫描并解析潜在的主引导记录 (MBR)
memdump:转储进程的可寻址内存
memmap:输出内存映射
messagehooks:列出桌面和线程窗口的消息钩子
mftparser:扫描并解析潜在的 MFT 条目
moddump:转储内核驱动到可执行文件样本
modscan:扫描内核模块的内存池
modules:输出加载的模块列表
multiscan:同时扫描多种对象
mutantscan:扫描互斥对象的内存池
notepad:列出当前显示的记事本文本
objtypescan:扫描 Windows 对象类型对象
patcher:基于页面扫描修补内存
poolpeek:可配置的内存池扫描插件
printkey:输出注册表键及其子键和值
privs:显示进程权限
procdump:转储进程到可执行文件样本
pslist:通过 EPROCESS 列表输出所有正在运行的进程
psscan:扫描进程对象的内存池
pstree:以树状显示进程列表
psxview:使用多种进程列表查找隐藏进程
qemuinfo:转储 Qemu 信息
raw2dmp:将物理内存样本转换为 windbg 崩溃转储
screenshot:根据 GDI 窗口保存伪截图
servicediff:列出 Windows 服务(类似 Plugx)
sessions:列出 _MM_SESSION_SPACE(用户登录会话)的详细信息
shellbags:输出 ShellBags 信息
shimcache:解析应用兼容性 Shim 缓存注册表键
shutdowntime:从注册表输出机器的关机时间
sockets:输出开放的套接字列表
sockscan:扫描 TCP 套接字对象的内存池
ssdt:显示 SSDT 条目
strings:将物理偏移与虚拟地址匹配(可能耗时,信息量大)
svcscan:扫描 Windows 服务
symlinkscan:扫描符号链接对象的内存池
thrdscan:扫描线程对象的内存池
threads:调查 _ETHREAD 和 _KTHREAD
timeliner:从内存中的各种工件创建时间线
timers:输出内核定时器及相关模块 DPC
truecryptmaster:恢复 TrueCrypt 7.1a 主密钥
truecryptpassphrase:查找 TrueCrypt 缓存的密码短语
truecryptsummary:输出 TrueCrypt 概要
unloadedmodules:输出已卸载的模块列表
userassist:输出 UserAssist 注册表键和信息
userhandles:转储 USER 句柄表
vaddump:转储 VAD 部分到文件
vadinfo:转储 VAD 信息
vadtree:以树状显示 VAD 树
vadwalk:遍历 VAD 树
vboxinfo:转储 virtualbox 信息
verinfo:输出 PE 镜像的版本信息
vmwareinfo:转储 VMware VMSS/VMSN 信息
volshell:在内存镜像中进入 Shell
windows:输出桌面窗口(详细信息)
wintree:输出 Z-Order 桌面窗口树
wndscan:扫描窗口工作站的内存池
yarascan:使用 Yara 签名扫描进程或内核内存
vol3默认插件一览
banners.Banners:尝试在图像中识别潜在的 Linux 标识。
configwriter.ConfigWriter:运行自动化操作,并在输出目录中打印和输出配置。
frameworkinfo.FrameworkInfo:列出 Volatility 中各种模块组件的插件。
isfinfo.IsfInfo:确定当前可用的 ISF 文件的信息,或特定的文件信息。
layerwriter.LayerWriter:运行自动化操作并写出堆栈器产生的主层。
linux.bash.Bash:从内存中恢复 bash 命令历史记录。
linux.capabilities.Capabilities:列出进程的能力。
linux.check_afinfo.Check_afinfo:验证网络协议的操作函数指针。
linux.check_creds.Check_creds:检查是否有进程共享凭证结构。
linux.check_idt.Check_idt:检查 IDT(中断描述符表)是否被修改。
linux.check_modules.Check_modules:将模块列表与 sysfs 信息进行比较(如果可用)。
linux.check_syscall.Check_syscall:检查系统调用表中的挂钩。
linux.elfs.Elfs:列出所有进程的内存映射 ELF 文件。
linux.envars.Envars:列出进程及其环境变量。
linux.iomem.IOMem:生成类似于正在运行的系统中 /proc/iomem 的输出。
linux.keyboard_notifiers.Keyboard_notifiers:解析键盘通知回调链。
linux.kmsg.Kmsg:内核日志缓冲区读取器。
linux.library_list.LibraryList:枚举加载到进程中的库。
linux.lsmod.Lsmod:列出已加载的内核模块。
linux.lsof.Lsof:列出所有进程的内存映射。
linux.malfind.Malfind:列出可能包含注入代码的进程内存范围。
linux.mountinfo.MountInfo:列出进程的挂载命名空间中的挂载点。
linux.netfilter.Netfilter:列出 Netfilter 钩子。
linux.proc.Maps:列出所有进程的内存映射。
linux.psaux.PsAux:列出进程及其命令行参数。
linux.pslist.PsList:列出特定 Linux 内存映像中存在的进程。
linux.psscan.PsScan:扫描特定 Linux 映像中存在的进程。
linux.pstree.PsTree:基于父进程 ID 列出进程树的插件。
linux.sockstat.Sockstat:列出所有进程的网络连接。
linux.tty_check.tty_check:检查 tty 设备是否有钩子。
linux.vmayarascan.VmaYaraScan:扫描所有虚拟内存区域,使用 YARA 扫描任务。
mac.bash.Bash:从内存中恢复 bash 命令历史记录。
mac.check_syscall.Check_syscall:检查系统调用表中的挂钩。
mac.check_sysctl.Check_sysctl:检查 sysctl 处理程序中的挂钩。
mac.check_trap_table.Check_trap_table:检查 Mach trap 表中的挂钩。
mac.dmesg.Dmesg:打印内核日志缓冲区。
mac.ifconfig.Ifconfig:列出所有设备的网络接口信息。
mac.kauth_listeners.Kauth_listeners:列出 kauth 监听器及其状态。
mac.kauth_scopes.Kauth_scopes:列出 kauth 范围及其状态。
mac.kevents.Kevents:列出进程注册的事件处理程序。
mac.list_files.List_Files:列出所有进程的打开文件描述符。
mac.lsmod.Lsmod:列出已加载的内核模块。
mac.lsof.Lsof:列出所有进程的打开文件描述符。
mac.malfind.Malfind:列出可能包含注入代码的进程内存范围。
mac.mount.Mount:一个包含多个插件的模块,通常用于列出 Mac 的挂载命令数据。
mac.netstat.Netstat:列出所有进程的网络连接。
mac.proc_maps.Maps:列出进程内存范围,可能包含注入代码。
mac.psaux.Psaux:恢复程序命令行参数。
mac.pslist.PsList:列出特定 Mac 内存映像中存在的进程。
mac.pstree.PsTree:基于父进程 ID 列出进程树的插件。
mac.socket_filters.Socket_filters:枚举内核套接字过滤器。
mac.timers.Timers:检查恶意的内核定时器。
mac.trustedbsd.Trustedbsd:检查恶意的 trustedbsd 模块。
mac.vfsevents.VFSevents:列出过滤文件系统事件的进程。
timeliner.Timeliner:运行所有相关插件,提供按时间排序的时间相关信息。
vmscan.Vmscan:扫描 Intel VT-d 结构并为其生成虚拟机 Volatility 配置。
windows.bigpools.BigPools:列出大页池。
windows.cachedump.Cachedump:从内存中转储 LSA 密码。
windows.callbacks.Callbacks:列出内核回调和通知例程。
windows.cmdline.CmdLine:列出进程的命令行参数。
windows.crashinfo.Crashinfo:列出 Windows 崩溃转储中的信息。
windows.devicetree.DeviceTree:根据驱动程序和附加设备列出 Windows 内存映像中的树形结构。
windows.dlllist.DllList:列出 Windows 内存映像中加载的模块。
windows.driverirp.DriverIrp:列出 Windows 内存映像中驱动程序的 IRP。
windows.drivermodule.DriverModule:确定是否有加载的驱动程序被 rootkit 隐藏。
windows.driverscan.DriverScan:扫描特定 Windows 内存映像中的驱动程序。
windows.dumpfiles.DumpFiles:转储 Windows 内存样本中的缓存文件内容。
windows.envars.Envars:显示进程环境变量。
windows.filescan.FileScan:扫描特定 Windows 内存映像中的文件对象。
windows.getservicesids.GetServiceSIDs:列出进程令牌的 SID。
windows.getsids.GetSIDs:打印拥有每个进程的 SID。
windows.handles.Handles:列出进程的打开句柄。
windows.hashdump.Hashdump:从内存中转储用户哈希。
windows.hollowprocesses.HollowProcesses:列出空洞化的进程。
windows.iat.IAT:提取导入地址表(IAT),列出程序所使用的外部库中的 API(函数)。
windows.info.Info:显示内存样本的操作系统和内核详细信息。
windows.joblinks.JobLinks:打印进程的作业链接信息。
windows.kernelcallbacks.KernelCallbacks:列出 Windows 内核回调。
windows.kdbgscan.KDBGScan:扫描 Windows 内存映像中的 KDBG(内核调试符号)。
windows.malfind.Malfind:列出可能包含注入代码的进程内存范围。
windows.memmap.MemMap:显示进程的内存映射。
windows.mimikatz.Mimikatz:提取内存中存储的凭证。
windows.modules.Modules:列出 Windows 内存映像中加载的模块。
windows.netstat.Netstat:列出 Windows 网络连接。
windows.netscan.NetScan:扫描 Windows 网络连接。
windows.osinfo.OSInfo:显示操作系统的详细信息。
windows.pagedpool.PagedPool:列出 Windows 内存中的分页池。
windows.patches.Patches:列出 Windows 系统的补丁和更新信息。
windows.pefile.PEFile:解析 Windows 可执行文件(PE 文件)头信息。
windows.printspool.PrintSpool:列出 Windows 打印队列的详细信息。
windows.processinfo.ProcessInfo:列出 Windows 系统中所有进程的信息。
windows.procdump.ProcDump:转储 Windows 进程的内存。
windows.pslist.PsList:列出 Windows 内存映像中的进程。
windows.registry.Registry:列出 Windows 注册表的内容。
windows.regripper.RegRipper:使用注册表转储信息提取 Windows 配置。
windows.sockets.Sockets:列出 Windows 内存映像中的套接字。
windows.suspend.Suspend:暂停指定的进程。
windows.syscalls.Syscalls:列出 Windows 系统调用。
windows.tasks.Tasks:列出 Windows 内存映像中的任务。
windows.timers.Timers:列出 Windows 系统中的定时器。
windows.userhandles.UserHandles:列出 Windows 内存中的用户模式句柄。
windows.usbscan.UsbScan:扫描 Windows 系统中的 USB 设备。
windows.vadinfo.VADInfo:列出 Windows 内存映像中的虚拟地址区域(VAD)。
windows.volshell.VolShell:通过命令行与 Volatility 进行交互。
windows.win32k.Win32k:列出 Windows 图形和输入子系统的信息。