利用内存取证技术进行恶意软件狩猎
1. Volatility插件基础操作
Volatility的pslist插件支持多种选项和参数,可通过在插件名后输入-h(--help)查看。以下是一些常用选项及操作示例:
-输出重定向:使用--output-file选项可将pslist的输出重定向到文件,操作命令如下:
$ python vol.py -f perseus.vmem --profile=Win7SP1x86 pslist --output-file=pslist.txt- 指定进程ID查询:使用
-p(--pid)选项,若知道进程的ID(PID),就能确定该特定进程的信息,示例如下:
$ python vol.py -f perseus.vmem --profile=Win7SP1x86 pslist -p 3832输出结果示例:
Volatility Foundation Volatility Framework 2.6 Offset(V) Name