Kali linux 学习笔记（八十七）计算机取证——工具（dumpit、volatility） 2020.4.22

思源湖的鱼

于 2020-04-22 14:53:57 发布

阅读量7.7k

点赞数 2

CC 4.0 BY-SA版权

分类专栏： kali linux 文章标签： linux 安全取证 volatility

本文链接：https://blog.csdn.net/weixin_44604541/article/details/105682074

这篇博客介绍了Kali Linux中用于计算机取证的工具dumpit和volatility。通过dumpit制作内存镜像，然后利用volatility进行内存分析。文章提到了volatility的强大功能，并提供了案例链接，展示了如何使用这些工具进行内存分析，以检测潜在的恶意软件。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前言

本节学习计算机取证工具
不考虑法律因素、法庭证据、监管链、文档记录等环节
只学习kali中部分取证工具

1、内存镜像dumpit

https://www.downloadcrew.com/article/23854-dumpit
制作得到的内存文件（raw文件）与内存大小接近或者稍微大一点
如图所示
在这里插入图片描述

2、内存分析volatility

非常强大，非常重量级的工具
所有插件在 /usr/lib/python2.7/dist-packages/volatility/plugins

volatility
#查询文件信息
volatility imageinfo -f win.raw
#查询数据库文件
volatility -f win.raw --profile=Win7SP1x86
volatility -f win.raw --profile=Win7SP1x86 pslist #查看进程信息
volatility -f win.raw --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/