Volatility 简介：

Volatility是一款开源的，基于Python开发的内存取证工具集，可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。（高等级版本kali现需要自己下载Volatility，依赖于python环境安装）

volatility 使用：

开始准备：

volatility -f  <文件名>–profile= <配置文件><插件>[插件参数]

获取–profile的参数

使用imageinfo插件来猜测dump文件的profile值：WinXPSP2x8

[email protected]:~/quzhen# volatility -f mem.vmem imageinfo

列举进程：

[email protected]:~/quzhen# volatility -f mem.vmem –profile=WinXPSP2x86 pslist

 列举缓存在内存的注册表 ：

volatility -f mem.vmem –profile=WinXPSP2x86 hivelist

 hivedump 打印出注册表中的数据 ：

volatility -f mem.vmem –profile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址

 获取SAM表中的用户 ：

volatility -f mem.vmem –profile=WinXPSP2x86 printkey -K “SAM\Domains\Account\Users\Names”

可以看到下图有四个用户

 获取最后登录系统的账户 ：

volatility -f mem.vmem – profile=WinXPSP2x86 printkey -K “SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”

提取出内存中记录的 当时正在运行的程序有 哪些，运行过多少次，最后一次运行的时间等信息。

volatility -f mem.vmem – profile=WinXPSP2x86 userassist

dmp某个进程数据保存：

volatility -f mem.vmem –profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]

 提取内存中保留的 cmd 命令使用情况：

volatility -f mem.vmem –profile=WinXPSP2x86 cmdscan

 获取到当时的网络连接：

volatility -f mem.vmem –profile=WinXPSP2x86 netscan

 获取 IE 浏览器的使用情况：

volatility -f mem.vmem –profile=WinXPSP2x86 iehistory

获取内存中的系统密码（使用hashdump提取）：

 volatility -f mem.vmem –profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60

附工具下载地址：https://github.com/volatilityfoundation