從wiki引用的說明,Volatility是一個用於事件響應和惡意軟體分析的開源記憶體取證框架,採用Python編寫,支援Microsoft Windows、macOS和Linux(從版本2.5[1]開始)。
從官方說明中,目前穩定版本為Volatility 2.6、更新中版本為Volatility 3。
有興趣的可以在這邊下載:
這次用來介紹的memory sample可以從這邊下載:
都下載安裝完成後可以用-h 先查詢指令,相關語法也可以在下列網址上進行查詢:
觀察memory檔案
這次使用Malware - Cridex Windows XP SP2 x86
※python vol.py -f xxxx.vmem imageinfo
可以看到Suggested Profile(s) 這個imageinfo的可能系統類型
下面列出的Type(Service Pack)可以讓我們確認該映像檔版本來進行收斂查詢值
EX:python vol.py -f xxxx.vmem --profile=WinXPSP2x86 pslist
※pslist 可以查詢記憶體中運行的process列出來:https://docs.microsoft.com/en-us/sysinternals/downloads/pslist