iT邦幫忙

2025 iThome 鐵人賽
DAY 21
0
Security

藍隊星星的數位鑑識筆記系列 第 21

Day.21 記憶體鑑識(七)Volatility3 Windows 指令教學

17th鐵人賽
120 瀏覽

  • 分享至 

  • xImage
    •  

目錄

  1. 前言
  2. Volatility3 Windows 指令教學
  3. 總結

正文

前言

終於把環境安裝完了,現在是指令教學時間!

Volatility3 Windows 指令教學

指令基本

  • 指令格式 
    vol -f [檔案] [plugin]
  • 幫助 
    vol -h
  • 參數幫助 
    vol [plugin] -h

指令參數

  • windows.info:查看記憶體中系統的基本資訊 
    vol -f [檔案] windows.info
  • windows.pstree:查看開啟中或是運行中的 process 
    vol -f [檔案] windows.info
  • windows.cmdline.CmdLine:提取在 process 中執行的參數 
    vol -f [檔案] windows.cmdline.CmdLine
  • windows.psscan:掃描 process 
    vol -f [檔案] windows.psscan
  • windows.filescan:掃描記憶體中的所有檔案(包含檔案在記憶體中的位置),可使用 grep 方便查閱 
    vol -f [檔案] windows.filescan
  • windows.dumpfiles:提取出檔案 
    vol -f [檔案] windows.dumpfiles
  • windows.memdump:提取出 process 
    vol -f [檔案] windows.memmap ‑‑dump ‑‑pid <PID>

總結

這邊先列了一些可能會用到的指令,明天再來帶題目做練習喔!

參考資料


上一篇
Day.20 記憶體鑑識(六)Volatility3 symbol table
下一篇
Day.22 記憶體鑑識(八)Volatility3 Windows 解題練習
系列文
藍隊星星的數位鑑識筆記22
  1. 18
    Day.18 記憶體鑑識(四)Volatility2 解題練習
  2. 19
    Day.19 記憶體鑑識(五)Volatility3 介紹與安裝
  3. 20
    Day.20 記憶體鑑識(六)Volatility3 symbol table
  4. 21
    Day.21 記憶體鑑識(七)Volatility3 Windows 指令教學
  5. 22
    Day.22 記憶體鑑識(八)Volatility3 Windows 解題練習
完整目錄
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
16426
完賽人數
189
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 17th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# linux windows server css react
熱門問題
熱門回答
熱門文章
IT邦幫忙