告别命令恐惧症Volatility 2/3 实战命令速查手册附Linux/Mac命令在数字取证领域内存分析往往能揭示最直接的攻击痕迹。想象这样一个场景凌晨三点接到紧急响应电话面对一台疑似被入侵的服务器您需要快速定位恶意进程、分析网络连接、提取关键注册表信息——这时若因命令不熟而手忙脚乱可能错失黄金响应时机。这份手册正是为解决这类痛点而生将Volatility工具链的核心能力转化为可快速检索的操作卡片。1. 环境准备与基础操作无论使用Volatility 2简称Vol2还是Volatility 3Vol3正确的环境配置是第一步。Vol2需要指定profile参数如Win7SP1x64而Vol3采用自动检测机制。以下是典型工作流对比操作步骤Volatility 2 命令示例Volatility 3 命令示例检测镜像信息vol.py -f memory.dmp imageinfovol.py -f memory.dmp windows.info确定profile--profileWin10x64_19041无需指定查看进程列表vol.py -f memory.dmp --profile... pslistvol.py -f memory.dmp windows.pslist常见问题处理若Vol3无法自动识别系统类型可尝试强制指定插件python3 vol.py -f memory.dmp windows.info.Info内存镜像采集建议使用LiMELinux或WinPmemWindows获取原始内存避免在目标机器直接分析优先创建副本提示UTC时间转换是常见坑点可用timeliner插件统一时间戳格式2. 进程与恶意代码分析恶意软件常通过进程注入、隐藏进程等方式驻留内存。以下命令组合可构建完整检测链条2.1 进程树分析# Vol2 vol.py -f memory.dmp --profile... pstree vol.py -f memory.dmp --profile... psscan # Vol3 vol.py -f memory.dmp windows.pstree vol.py -f memory.dmp windows.psscan关键参数-p PID指定特定进程--outputjson输出结构化数据2.2 动态链接库检测异常DLL加载是Rootkit的典型特征# 检测未链接的DLLVol2/3命令格式相同 ldrmodules -p 1234 # 扫描内存注入代码 malfind -p 1234 --dump-dir./output实战技巧先用pslist获取常规进程列表通过psscan比对隐藏进程对可疑PID执行dlllist和malfind3. 网络与注册表取证3.1 网络连接分析不同系统版本下的网络扫描命令差异较大功能描述Windows Vol2Windows Vol3Linux/Mac命令活跃连接connectionswindows.netscanlinux.netstat监听端口socketswindows.netstatmac.ifconfigDNS缓存dns_cachewindows.dns_cache需结合bash_history3.2 注册表关键路径速查注册表是Windows系统的核心数据库这些路径存储着关键证据# 获取用户登录信息Vol2/3通用语法 printkey -K SAM\Domains\Account\Users\Names # 提取最近运行程序Vol3专用 vol.py -f memory.dmp windows.registry.userassist高频注册表路径自动启动项SOFTWARE\Microsoft\Windows\CurrentVersion\RunRDP连接记录SYSTEM\CurrentControlSet\Control\Terminal Server时间线信息SYSTEM\CurrentControlSet\Control\Windows4. 文件与密码提取技巧4.1 文件系统重建通过内存解析文件系统比磁盘取证更能反映实时状态# 扫描文件对象输出重定向技巧 filescan | grep -i \.doc$ docs.txt # 导出指定文件需先获取物理地址 dumpfiles -Q 0x3fa1d00 --dump-dir./exported效率优化结合mftparser解析NTFS元数据使用shellbags还原用户文件浏览习惯4.2 密码哈希提取获取哈希是横向渗透分析的关键步骤# Vol2经典流程 hivelist # 获取SAM和SYSTEM地址 hashdump -y 0xfffff8a000024000 -s 0xfffff8a000352000 # Vol3简化操作 vol.py -f memory.dmp windows.hashdump破解建议使用John the Ripper处理NTLM哈希注意$6$开头的Linux shadow hash需要特定规则集5. 跨平台命令对照表为方便多环境调查整理Linux/Mac特有命令调查目标Linux插件Mac插件输出示例命令历史linux.bashmac.bash显示所有bash命令内核模块linux.lsmodmac.lsmod列出加载的驱动模块进程环境变量linux.envarsmac.psaux查看进程启动参数系统调用linux.check_syscallmac.check_syscall检测内核钩子特殊场景处理# 检测Mac系统rootkit需sudo权限 vol.py -f macmem.dmp mac.check_trap_table
告别命令恐惧症:Volatility 2/3 实战命令速查手册(附Linux/Mac命令)
告别命令恐惧症Volatility 2/3 实战命令速查手册附Linux/Mac命令在数字取证领域内存分析往往能揭示最直接的攻击痕迹。想象这样一个场景凌晨三点接到紧急响应电话面对一台疑似被入侵的服务器您需要快速定位恶意进程、分析网络连接、提取关键注册表信息——这时若因命令不熟而手忙脚乱可能错失黄金响应时机。这份手册正是为解决这类痛点而生将Volatility工具链的核心能力转化为可快速检索的操作卡片。1. 环境准备与基础操作无论使用Volatility 2简称Vol2还是Volatility 3Vol3正确的环境配置是第一步。Vol2需要指定profile参数如Win7SP1x64而Vol3采用自动检测机制。以下是典型工作流对比操作步骤Volatility 2 命令示例Volatility 3 命令示例检测镜像信息vol.py -f memory.dmp imageinfovol.py -f memory.dmp windows.info确定profile--profileWin10x64_19041无需指定查看进程列表vol.py -f memory.dmp --profile... pslistvol.py -f memory.dmp windows.pslist常见问题处理若Vol3无法自动识别系统类型可尝试强制指定插件python3 vol.py -f memory.dmp windows.info.Info内存镜像采集建议使用LiMELinux或WinPmemWindows获取原始内存避免在目标机器直接分析优先创建副本提示UTC时间转换是常见坑点可用timeliner插件统一时间戳格式2. 进程与恶意代码分析恶意软件常通过进程注入、隐藏进程等方式驻留内存。以下命令组合可构建完整检测链条2.1 进程树分析# Vol2 vol.py -f memory.dmp --profile... pstree vol.py -f memory.dmp --profile... psscan # Vol3 vol.py -f memory.dmp windows.pstree vol.py -f memory.dmp windows.psscan关键参数-p PID指定特定进程--outputjson输出结构化数据2.2 动态链接库检测异常DLL加载是Rootkit的典型特征# 检测未链接的DLLVol2/3命令格式相同 ldrmodules -p 1234 # 扫描内存注入代码 malfind -p 1234 --dump-dir./output实战技巧先用pslist获取常规进程列表通过psscan比对隐藏进程对可疑PID执行dlllist和malfind3. 网络与注册表取证3.1 网络连接分析不同系统版本下的网络扫描命令差异较大功能描述Windows Vol2Windows Vol3Linux/Mac命令活跃连接connectionswindows.netscanlinux.netstat监听端口socketswindows.netstatmac.ifconfigDNS缓存dns_cachewindows.dns_cache需结合bash_history3.2 注册表关键路径速查注册表是Windows系统的核心数据库这些路径存储着关键证据# 获取用户登录信息Vol2/3通用语法 printkey -K SAM\Domains\Account\Users\Names # 提取最近运行程序Vol3专用 vol.py -f memory.dmp windows.registry.userassist高频注册表路径自动启动项SOFTWARE\Microsoft\Windows\CurrentVersion\RunRDP连接记录SYSTEM\CurrentControlSet\Control\Terminal Server时间线信息SYSTEM\CurrentControlSet\Control\Windows4. 文件与密码提取技巧4.1 文件系统重建通过内存解析文件系统比磁盘取证更能反映实时状态# 扫描文件对象输出重定向技巧 filescan | grep -i \.doc$ docs.txt # 导出指定文件需先获取物理地址 dumpfiles -Q 0x3fa1d00 --dump-dir./exported效率优化结合mftparser解析NTFS元数据使用shellbags还原用户文件浏览习惯4.2 密码哈希提取获取哈希是横向渗透分析的关键步骤# Vol2经典流程 hivelist # 获取SAM和SYSTEM地址 hashdump -y 0xfffff8a000024000 -s 0xfffff8a000352000 # Vol3简化操作 vol.py -f memory.dmp windows.hashdump破解建议使用John the Ripper处理NTLM哈希注意$6$开头的Linux shadow hash需要特定规则集5. 跨平台命令对照表为方便多环境调查整理Linux/Mac特有命令调查目标Linux插件Mac插件输出示例命令历史linux.bashmac.bash显示所有bash命令内核模块linux.lsmodmac.lsmod列出加载的驱动模块进程环境变量linux.envarsmac.psaux查看进程启动参数系统调用linux.check_syscallmac.check_syscall检测内核钩子特殊场景处理# 检测Mac系统rootkit需sudo权限 vol.py -f macmem.dmp mac.check_trap_table
