owlsecx/OVolatile

# 🦉 OVolatile

## 📌 概述 OVolatile 为 `vol` / `vol3` 提供了一个结构化的界面，免去了记忆插件字符串或标志的麻烦。每次插件运行都会在终端中实时流式传输带有颜色的输出，并自动保存到磁盘，同时记录在会话历史中，以便日后审查和导出。 ## 🖥️ 菜单 | 选项 | 描述 | |--------|-------------| | **[1] 运行插件** | 输入任意插件名称及可选的额外参数 — 输出实时流式显示 | | **[2] 浏览插件** | 按 OS 分组过滤、关键字搜索、按编号选择 | | **[3] 批量运行** | 手动输入多个插件或选择快速分类集 | | **[4] 历史** | 查看所有先前运行的插件，包含插件名称、行数、返回码及错误信息 | | **[5] 导出** | 将完整的会话历史保存为单个 JSON 文件 | | **[6] 分析指南** | 针对不同操作系统（Linux / Windows / macOS）的推荐插件流程 | | **[7] 设置** | 设置 vol 二进制文件路径、内存转储路径、输出目录、TXT/JSON 开关、行数上限 | ## 🔌 插件库 — 55+ 插件 ### 通用 (3) `banners.Banners` · `isfinfo.IsfInfo` · `layerwriter.LayerWriter` ### Linux (18) `pslist` · `pstree` · `psscan` · `bash` · `netstat` · `sockstat` · `lsof` · `malfind` · `ifconfig` · `envars` · `elfs` · `mount` · `kmsg` · `check_modules` · `check_afinfo` · `check_creds` · `check_idt` · `tty_check` ### Windows (22) `pslist` · `pstree` · `psscan` · `cmdline` · `netscan` · `netstat` · `malfind` · `dlllist` · `handles` · `modules` · `driverscan` · `svcscan` · `ssdt` · `callbacks` · `hashdump` · `lsadump` · `filescan` · `dumpfiles` · `memmap` · `privileges` · `userassist` · `registry.hivelist` · `registry.printkey` · `envars` ### macOS (10) `pslist` · `pstree` · `bash` · `netstat` · `lsof` · `malfind` · `ifconfig` · `mount` · `check_syscall` · `check_trap_table` ## ⚡ 批量快速集 为快速事件响应内置的三种分类集： | 集合 | 插件 | |-----|---------| | **Linux 分类** | banners → pslist → bash → netstat → malfind | | **Windows 分类** | banners → pslist → cmdline → netscan → malfind → hashdump | | **macOS 分类** | banners → pslist → bash → netstat → malfind | ## 🗺️ 分析指南 可通过 **[6] 分析指南** 访问内置的推荐分析流程： **Linux 流程 (12 步)** banners → pslist → pstree → bash → netstat → sockstat → lsof → malfind → check_modules → check_idt → envars → elfs **Windows 流程 (17 步)** banners → pslist → pstree → cmdline → netscan → malfind → dlllist → handles → svcscan → modules → driverscan → ssdt → callbacks → hashdump → lsadump → registry hivelist → filescan **macOS 流程 (8 步)** banners → pslist → bash → netstat → lsof → malfind → check_syscall → check_trap_table ## 📤 输出文件 每次插件运行会自动保存到 `ovolatile_results/`： | 格式 | 文件名 | 内容 | |--------|----------|----------| | **TXT** | `ovolatile__.txt` | 带有标头（插件、内存路径、命令、返回码）的完整纯文本输出 | | **JSON** | `ovolatile__.json` | 结构化摘要：插件、内存、命令、返回码、行数、开始/结束时间 | | **Session** | `ovolatile_session_.json` | 包含所有插件运行的完整会话历史 | TXT 和 JSON 可在“设置”中独立开关。 ## ⚙️ 设置 | 设置项 | 默认值 | 描述 | |---------|---------|-------------| | **vol 二进制文件** | 自动检测 | 在 `$PATH` 中搜索 `vol`, `vol3`, `vol.py`, `volatility3` | | **内存转储** | *(未设置)* | `.raw`, `.mem`, `.vmem` 或其他转储文件的路径 | | **输出目录** | `ovolatile_results/` | 所有已保存输出文件的目录 | | **保存 TXT** | 开 | 每次运行保存纯文本输出 | | **保存 JSON** | 开 | 每次运行保存结构化 JSON 摘要 | | **最大行数** | 5000 | 实时输出行数上限 — 完整输出仍会保存至文件 | ## ⚙️ 环境要求 - **Volatility 3** — 必须已安装且可访问 - **无需安装 Python** — 作为独立可执行文件运行 ``` # 安装 Volatility 3 (如果需要) pip install volatility3 # 或 git clone https://github.com/volatilityfoundation/volatility3 ``` ## 🚀 使用方法 ``` ./OVolatile ``` 首次运行时，请先使用 **[7] 设置** 配置内存转储路径，然后再运行任何插件。 ## 📦 OwlSec 工具集的一部分 此工具是 **OwlSec** 套件的一部分 — 包含 300 多种安全和隐私工具的集合。 🔗 [owlsec.org](https://owlsec.org) ## ©️ 许可证 MIT License — © Khaled S. Haddad *工具以预编译可执行文件的形式分发。源代码为专有财产。*

标签：JARM, Mr. Robot, PB级数据处理, Python, SecList, Volatility 3, Volatility封装器, 内存分析, 内存取证, 内存转储分析, 安全分析指南, 安全排查, 安全运维, 库, 应急响应, 批量处理, 数字取证, 数字取证, 无后门, 无线安全, 日志导出, 系统分析, 终端UI, 网络分析, 网络安全, 网络安全审计, 自动化脚本, 自动化脚本, 进程分析, 隐私保护