获取内存镜像详细信息
imageinfo 是 Volatility 中用于获取内存镜像信息的命令。它可以用于确定内存镜像的操作系统类型、版本、架构等信息,以及确定应该使用哪个插件进行内存分析
1python2 vol.py -f Challenge.raw imageinfo #f:指定分析的内存镜像文件名
123456上述输出中,Suggested Profile(s) 显示了 Volatility 推荐的几个内存镜像分析配置文件,可以根据这些配置文件来选择合适的插件进行内存分析AS Layer2 显示了使用的内存镜像文件路径KDBG 显示了内存镜像中的 KDBG 结构地址Number of Processors 显示了处理器数量Image Type 显示了操作系统服务包版本Image date and time 显示了内存镜像文件的创建日期和时间
获取正在运行的程序
这里我们用 Win7SP1x64 配置文件进行分析,Volatility 的 pslist 插件可以遍历内存镜像中的进程列表,显示每个进程的进程 ID、名称、父进程 ID、创建时间、退出时间和路径等信息
1pyth ...
