插件使用方式:
1.把插件文件放入volatility的plugins中
2.使用--plugins参数指定插件目录
官方-社区插件项目
https://github.com/volatilityfoundation/community
注意:
1.如果使用出错,可以打开插件文件或者单独运行,可能是有些库没有安装
2.官方虽然提供了一个社区插件的整合仓库,却没有给出详细说明。文件夹名称是插件制作者的姓名,文件夹内才是插件真正的名称。下面挑一部分进行说明。
mimakatz插件:提取内存中的密码
安装依赖库:sudo pip install construct==2.5.5-reupload
volatility --plugins=./community/FrancescoPicasso/ -f memory mimikatz
ndispktscan插件:搜索内核的网络流量包信息
https://github.com/bridgeythegeek/ndispktscan
volatility --plugins=./community/AdamBridge/ -f Adv.raw ndispktscan
VolDiff 恶意软件检测
https://github.com/aim4r/VolDiff
它是基于volatility,但是需要单独使用。
Chrome Ragamuffin
分析内存中的chrome浏览器运行实例,可以分析正在浏览的页面
https://github.com/cube0x8/chrome_ragamuffin
volatility --plugins=./community/AlessandroDeVito -f Adv.raw chrome_ragamuffin --analysis history
volatility --plugins=./community/AlessandroDeVito -f Adv.raw chrome_ragamuffin --analysis renderer
gargoyle
检测'gargoyle' 攻击,gargoyle是一种内存扫描规避技术
rdpkeys
分析windows RDP远程连接的数据,提取秘钥,可配合wireshark对抓到的rdp流量解密。
powersh
对内存中的(隐藏)powershell进程进行分析
wnf
https://github.com/citronneur/volatility-wnf/
进程的subscribers 信息分析
LinuxFirefox
参数:
linux_ffhis 查看历史记录
linux_ffcookies 查看cookie
vmtools
扫描镜像内vmtools的相关信息
browserhooks
https://github.com/eset/volatility-browserhooks
木马钩子探测
自动获取取证所需的基本系统信息,例如系统名称、时区、关机时间、安装信息等下
参数: systeminfo
volatility --plugins=./community/GlennEdwards -f memory systeminfo
usbstor
从注册表中读取Usb设备插入信息
参数:usbstor
volatility --plugins=./community/JamesHall_KevinBreen -f memory usbstor
LastPass
从浏览器内存空间中读取账户密码信息
参数:lastpass
dyrescan
dyre木马扫描
bitlocker
./community/MarcinUlikowski/
这个插件能找到并提取BitLocker全卷加密密钥(FVEK),可以用来解密BitLocker卷。
只支持:Windows Vista/7
volatility --plugins=./community/MarcinUlikowski/ -f win7-memory --pro file=Win7SP1x86 bitlocker
volatility-bitlocker
./community/ThomasWhite
https://github.com/tribalchicken/volatility-bitlocker
上面插件的同类插件,支持win7、 8、 10
使用介绍:
如何获得bitlocker秘钥并解密磁盘
https://tribalchicken.com.au/technical/recovering-bitlocker-keys-on-windows-8-1-and-10/
备注:可以使用EFDD ( Elcomsoft Forensic Disk Decryptor)快速解密
https://github.com/mbrown1413/SqliteFind
可以从内存中找出sqlite数据库信息
vivedump
./community-master/PeterCasey
VR设备信息解析
vol-openvpn
PhilipHuppert/openvpn
https://github.com/Phaeilo/vol-openvpn
OpenVPN 证书解析:
volatility -f "OpenVPN-2.3.4 XP 32.elf" --profile=WinXPSP3x86 openvpn
autoruns
https://github.com/tomchop/volatility-autoruns
列出自启动程序:
volatility --plugins=./community/ThomasChopitea -f win7-memory --profile=Win7SP1x86 autoruns
目录:./community/ThomasWhite
解析Apple FileVault 2 Volume密钥
https://github.com/tribalchicken/volatility-filevault2
osint
https://github.com/tranvienha/volatility-osint
解析出不同进程中的url和ip
WMDF
基于volatility的windows图形化内存分析工具
https://drive.google.com/file/d/0B-vpxT5wQCuSdEFxNVdCeHF0a0U/view
APT扫描探测插件
https://github.com/JPCERTCC/aa-tools
superponible插件项目
https://github.com/superponible/volatility-plugins
uninstallinfo.py - Dumps HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall from memory
prefetch.py - scan memory for prefetch files and dump filename and timestamps
idxparser.py - scan memory Java IDX files and extract details
firefoxhistory.py - firefoxhistory, firefoxcookies, and firefoxdownloads plugins to extract the following firefox history data: moz_places, moz_cookies, and moz_downloads
chromehistory.py - chromehistory, chromevisits, chromesearchterms, chromedownloads, chromedownloadchains, and chromecookies plugins to extract Chrome SQLite artifacts
sqlite_help.py - supporting functions SQLite used in Firefox and Chrome plugins
trustrecords.py - extract Office TrustRecords registry key information
ssdeepscan.py - like yarascan, but searches for pages matching an ssdeep hash
malfinddeep.py - whitelist code found by malfind based on an ssdeep hash
apihooksdeep.py - whitelist code found by apihooks based on an ssdeep hash