# Volatility - CheatSheet
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS&HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一,也是**欧洲**最重要的之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点聚会。
{% embed url="" %}
如果您想要**快速疯狂**地同时运行多个Volatility插件,可以使用:
```bash
python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)
```
## 安装
### volatility3
```bash
git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py install
python3 vol.py —h
```
### volatility2
{% tabs %}
{% tab title="方法1" %}
```
Download the executable from https://www.volatilityfoundation.org/26
```
{% endtab %}
{% tab title="方法2" %}
```bash
git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python setup.py install
```
{% endtab %}
{% endtabs %}
## Volatility Commands
访问[Volatility命令参考](https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#kdbgscan)中的官方文档
### “list”与“scan”插件的说明
Volatility有两种主要的插件方法,有时可以从它们的名称中反映出来。“list”插件将尝试浏览Windows内核结构,以检索诸如进程(在内存中定位和遍历`_EPROCESS`结构的链接列表)、操作系统句柄(定位和列出句柄表,取消引用找到的任何指针等)等信息。它们的行为几乎与请求Windows API列出进程时的行为相同。
这使得“list”插件非常快速,但与Windows API一样容易受到恶意软件的操纵。例如,如果恶意软件使用DKOM从`_EPROCESS`链接列表中取消链接一个进程,它将不会显示在任务管理器中,pslist中也不会显示。
另一方面,“scan”插件将采用类似于在内存中雕刻可能在解除引用为特定结构时有意义的内容的方法。例如,`psscan`将读取内存并尝试从中创建`_EPROCESS`对象(它使用池标签扫描,搜索指示感兴趣结构存在的4字节字符串)。优点是它可以找到已退出的进程,即使恶意软件篡改了`_EPROCESS`链接列表,插件仍将在内存中找到该结构(因为该结构仍然需要存在以使进程运行)。缺点是“scan”插件比“list”插件慢一些,有时可能产生误报(进程已退出太久,其结构的部分被其他操作覆盖)。
来源:
## 操作系统配置文件
### Volatility3
如readme中所述,您需要将要支持的操作系统的**符号表**放入\_volatility3/volatility/symbols\_中。\
各种操作系统的符号表包可在以下位置下载:
*
*
*
### Volatility2
#### 外部配置文件
您可以执行以下操作获取支持的配置文件列表:
```bash
./volatility_2.6_lin64_standalone --info | grep "Profile"
```
如果要使用**您已下载的新配置文件**(例如 Linux 配置文件),您需要在某个地方创建以下文件夹结构:*plugins/overlays/linux*,并将包含配置文件的 zip 文件放入此文件夹中。然后,使用以下命令获取配置文件的编号:
```bash
./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
Volatility Foundation Volatility Framework 2.6
Profiles
--------
LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
VistaSP0x64 - A Profile for Windows Vista SP0 x64
VistaSP0x86 - A Profile for Windows Vista SP0 x86
```
您可以从下载Linux和Mac配置文件。
在前面的片段中,您可以看到配置文件被称为`LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64`,您可以使用它来执行类似以下操作:
```bash
./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan
```
#### 发现配置文件
```
volatility imageinfo -f file.dmp
volatility kdbgscan -f file.dmp
```
#### **imageinfo 与 kdbgscan 之间的区别**
[**从这里**](https://www.andreafortuna.org/2017/06/25/volatility-my-own-cheatsheet-part-1-image-identification/):与仅提供配置文件建议的 imageinfo 相反,**kdbgscan** 旨在积极识别正确的配置文件和正确的 KDBG 地址(如果存在多个)。该插件扫描与 Volatility 配置文件相关联的 KDBGHeader 签名,并应用合理性检查以减少误报。输出的详细程度和可以执行的合理性检查数量取决于 Volatility 是否能够找到 DTB,因此,如果您已经知道正确的配置文件(或者从 imageinfo 获得了配置文件建议),请确保使用它。
始终查看 **kdbgscan 找到的进程数量**。有时,imageinfo 和 kdbgscan 可能会找到 **多个**适合的 **配置文件**,但只有 **有效的配置文件** 才会有一些与进程相关的内容(这是因为提取进程需要正确的 KDBG 地址)。
```bash
# GOOD
PsActiveProcessHead : 0xfffff800011977f0 (37 processes)
PsLoadedModuleList : 0xfffff8000119aae0 (116 modules)
```
```bash
# BAD
PsActiveProcessHead : 0xfffff800011947f0 (0 processes)
PsLoadedModuleList : 0xfffff80001197ac0 (0 modules)
```
#### KDBG
**内核调试器块**,由Volatility称为**KDBG**,对于Volatility和各种调试器执行的取证任务至关重要。被标识为`KdDebuggerDataBlock`,类型为`_KDDEBUGGER_DATA64`,其中包含诸如`PsActiveProcessHead`之类的关键引用。这个特定引用指向进程列表的头部,使得能够列出所有进程,这对于彻底的内存分析至关重要。
## 操作系统信息
```bash
#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
./vol.py -f file.dmp windows.info.Info
```
插件`banners.Banners`可在**vol3中用于尝试在转储文件中查找Linux横幅**。
## Hashes/密码
提取SAM哈希值,[域缓存凭据](https://hacktricks.xsx.tw/windows-hardening/stealing-credentials/credentials-protections#cached-credentials)和[lsa secrets](https://hacktricks.xsx.tw/windows-hardening/authentication-credentials-uac-and-efs#lsa-secrets)。
```bash
./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets
```
#### Volatility Cheat Sheet
**Basic Commands**
* **Image Identification**
* `volatility -f imageinfo`
* **Listing Processes**
* `volatility -f --profile= pslist`
* **Dumping a Process**
* `volatility -f --profile= memdump -p -D `
* **Listing Network Connections**
* `volatility -f --profile= connections`
* **Dumping a File**
* `volvality -f --profile= dumpfiles -Q -D `
**Advanced Commands**
* **Detecting Hidden Processes**
* `volatility -f --profile= psxview`
* **Analyzing Registry**
* `volatility -f --profile= hivelist`
* `volatility -f --profile= printkey -o `
* **Extracting DLLs**
* `volatility -f --profile= dlllist -p `
* **Analyzing Drivers** json
* `volatility -f --profile= driverscan`
* **Identifying Sockets**
* `volatility -f --profile= sockscan`
* **Analyzing Timelime**
* `volatility -f --profile= timeliner`
* **Analyzing Packed Binaries**
* `volatility -f --profile= malfind`
* **Analyzing Process Handles**
* `volatility -f --profile= handle`
* **Analyzing Process Memory**
* `volatility -f --profile= memmap`
* **Analyzing Process DLLs**
* `volatility -f --profile= dlldump -p `
* **Analyzing Process Threads**
* `volatility -f --profile= threads -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
* **Analyzing Process Handles**
* `volatility -f --profile= handles -p `
* **Analyzing Process Pools**
* `volatility -f --profile= poolscanner`
* **Analyzing Process Vad**
* `volatility -f --profile= vadinfo -p `
```bash
volatility --profile=Win7SP1x86_23418 hashdump -f file.dmp #Grab common windows hashes (SAM+SYSTEM)
volatility --profile=Win7SP1x86_23418 cachedump -f file.dmp #Grab domain cache hashes inside the registry
volatility --profile=Win7SP1x86_23418 lsadump -f file.dmp #Grab lsa secrets
```
### 内存转储
进程的内存转储将提取进程当前状态的所有内容。**procdump** 模块将仅提取**代码**。
```
volatility -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/
```
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一,也是**欧洲**最重要的之一。以**促进技术知识**为使命,这个大会是技术和网络安全专业人士在各个领域的热点交流会。
{% embed url="" %}
### 进程
#### 列出进程
尝试查找**可疑**进程(按名称)或**意外**的子**进程**(例如,cmd.exe 作为 iexplorer.exe 的子进程)。\
比较 pslist 的结果和 psscan 的结果以识别隐藏进程可能会很有趣。
```bash
python3 vol.py -f file.dmp windows.pstree.PsTree # Get processes tree (not hidden)
python3 vol.py -f file.dmp windows.pslist.PsList # Get process list (EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # Get hidden process list(malware)
```
#### Volatility Cheat Sheet
**Basic Commands**
* **Image Identification**
* `volatility -f imageinfo`
* **Listing Processes**
* `volatility -f --profile= pslist`
* **Dumping a Process**
* `voljsonity -f --profile= memdump -p -D `
* **Listing DLLs**
* `volatility -f --profile= dlllist -p `
* **Dumping a DLL**
* `volatility -f --profile= dlldump -p -D `
* **Listing Sockets**
* `volatility -f --profile= sockscan`
* **Network Connections**
* `volatility -f --profile= connections`
* **Registry Analysis**
* `volatility -f --profile= hivelist`
* `volatility -f --profile= printkey -o `
* **Dumping Registry Hive**
* `volatility -f --profile= dumpregistry -o -D `
* **File Analysis**
* `voljsonity -f --profile= filescan`
* **Dumping a File** json - `volatility -f --profile= dumpfiles -Q -D `
* **Kernel Modules**
* `volatility -f --profile= modscan`
* **Driver Modules**
* `volatility -f --profile= driverscan`
* **Crash Dump Analysis**
* `volatility -f --profile= memmap`
* **Process Environment Variables**
* `volatility -f --profile= envars -p `
* **Command History**
* `volatility -f --profile= cmdscan`
* **User Accounts** json - `volatility -f --profile= userassist`
* **Screenshots**
* `volatility -f --profile= screenshot -D `
* **Yara Scanning**
* `volatility -f --profile= yarascan --yara-file=`
* **API Hooks**
* `volatility -f --profile= apihooks`
* **Detecting Hidden Processes**
* `volatility -f --profile= psxview`
* **Detecting Hidden Drivers**
* `volatility -f --profile= ldrmodules`
* **Detecting Hidden Objects**
* `volvoljsonity -f --profile= hiddenevents`
* **Detecting Rootkits**
* `volatility -f --profile= malfind`
* **Detecting In-Memory Injection**
* `volatility -f --profile=