内存取证大纲(文件后缀mem)【volatility】【WRR】
目录
一. 内存镜像的架构
二. 工具
1.【volatility】查询镜像版本号和生成时间
使用方法1:打开命令行
使用方法2:可视化平台
2.【WRR】注册表文件查看工具
USB设备专题:
打印机专题:
一. 内存镜像的架构
二. 工具
1.【volatility】查询镜像版本号和生成时间
使用方法1:打开命令行
D:/try/volatility/> vol.exe -h
D:/try/volatility/> vol.exe -f 镜像文件的地址 imageinfo
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 pslist
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 pstree
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 pstree > pstree.txt
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 dlllist > dlllist.txt
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 hashdump
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 hashdump -y 注册表SYSTEM的虚拟地址 -s SAM的虚拟地址
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 mftparser > mft.txtD:chenxi/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 mftparser | findstr information.xlsx
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 netscan
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 hivelist
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 -y 注册表SYSTEM的虚拟地址 -s 注册表SAM的虚拟地址
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 --dump-dir=D:\text\
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 timeliner > timeliner.txt
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 procdump
使用方法2:可视化平台
2.【WRR】注册表文件查看工具
open中打开后缀reg的注册表文件
USB设备专题:
|
英文名称
|
中文名称
|
属性路径
|
|
Driver Assembly Date
|
设备驱动日期
|
{a8b865dd-2e3d-4094-ad97-e593a70c75d6}\0002
|
|
Install Date
|
安装日期
|
{83da6326-97a6-4088-9453-a19236573b29}\0064
|
|
First Install Date
|
首次安装日期
|
{83da6326-97a6-4088-9453-a19236573b29}\0065
|
|
Last Arrivel Date
|
最后访问日期
|
{83da6326-97a6-4088-9453-a1923f573b29}\0066
|
|
Last Removal Date
|
最后插入时间
|
{83da6326-97a6-4088-9453-a1923f573b29}\0067
|
|
Firmware Date
|
固件时间
|
{540b947e-8b40-45bc-a8a26a0b894cbda2}\001 1
|
打印机专题:
内存取证大纲(文件后缀mem)【volatility】【WRR】相关推荐
- 内存取证常见例题思路方法-volatility (没有最全 只有更全)
目录 1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交; 2.获取当前系统的主机名,将主机名作为Flag值提交; 3.获取当前系统浏览器搜索过的关键词,作 ...
- MISC之内存取证_Kali环境下使用volatility
文章目录 前言 一.安装volatility及相关依赖文件 二.例题 1.memory.raw 2.Cookie.raw 3.forensics.raw 4.disk.img 4.memory_5 前 ...
- [ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 v ...
- 内存取证之volatility及案例演示
内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
- 浅析Volatility内存取证
内存取证 Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统 Volatility是一款开源内存取证框架 ...
- 内存取证神器Volatility常用指令大全
内存取证神器Volatility常用指令大全 具体指令开头部分根据Volatility版本做修改即可 查找文件 volatility -f 19.mem --profile=Win7SP1x86_23 ...
- linux 内存取证_内存取证工具-volatility、foremost
内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...
- 内存取证工具——volatility 常用命令
点击可跳转 前言 正文 猜测镜像系统 调出shell窗口 列举进程 将内存中的某个进程保存出来 列举缓存在内存的注册表 列出SAM表中的用户 获取最后登录系统的用户 获取内存中正运行的程序 列举时间线 ...
- 内存取证——volatility命令
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
最新文章
- 23. Leetcode 86. 分隔链表 (链表-基础操作类-分隔链表)
- 如何通过session控制单点登录
- mongodb中Gson和java##Bean对象转化类
- transform.SimilarityTransform()==>图像的相似变换=等距变换(平移+旋转变换)+均匀尺度缩放
- 深入Managed DirectX9(十五)
- viper12a电源电路图_viper12_viper12a工作原理详解_简单viper12a电路图
- C语言 汉字码表 STM32 拼音输入法
- Java【递归及过滤器】
- 全国医疗卫生信息化公司网址大全
- 关于HTML的table表格换行一事
- 鸿海成立AI研发中心 5年投资100亿新台币
- 分页符怎么删除,word不要的页面删不掉
- 【华人学者风采】徐泽水 四川大学
- 测试手机单核性能软件,跑分软件Geekbench公布“作弊”名单:华为6款手机上榜...
- 证明线性空间子空间的基可以扩充为整个空间的基
- 《职来职往》那些话~~~我承认,他们懂得比我多……
- 教程//Windows系统滑动关机
- 求是科学班计算机怎么能够进,浙大游泳队获三全国冠军 都是学霸高考分数超700...
- 如何完全利用Win7
- 【必收藏】2021全网最火全套IT编程语言百度网盘学习资源汇总 !!!