第二周——学习内存取证神器volatility的使用
第二周——内存取证神器volatility的使用
volatility -f mem.raw imageinfo#这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等
第一个就是最有可能的镜像文件的版本,最可能是Win7SP1x86_23418
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86AS Layer1 : IA32PagedMemoryPae (Kernel AS)AS Layer2 : FileAddressSpace (/root/桌面/mem.raw)PAE type : PAEDTB : 0x185000LKDBG : 0x8176bbe8L#调试工具Number of Processors : 2Image Type (Service Pack) : 0KPCR for CPU 0 : 0x8176cc00L#ring3下,fs寄存器的指向TEB,ring0下,fs寄存器指向KPCR,KPCR即Kernel Processor Control Region,处理器控制区域,因为Windows是需要支持多个CPU的,所以为每一个CPU在内核空间安排一个KPCR的结构KPCR for CPU 1 : 0x807ec000LKUSER_SHARED_DATA : 0xffdf0000L#内核共享区Image date and time : 2020-02-18 19:56:24 UTC+0000Image local date and time : 2020-02-19 03:56:24 +0800
pslist可以直接列出运行的进程,如果进程已经结束,会在Exit列显示日期和时间,表明进程已经结束
volatility -f mem.raw --profile=Win7SP1x86_23418 pslist
0x829af8c0 System 4 0 101 479 ------ 0 2020-02-18 19:52:20 UTC+0000
0x83c4d948 smss.exe 280 4 2 30 ------ 0 2020-02-18 19:52:20 UTC+0000
0x83cc8030 csrss.exe 376 352 9 453 0 0 2020-02-18 19:52:20 UTC+0000
0x844e4d40 wininit.exe 432 352 3 79 0 0 2020-02-18 19:52:20 UTC+0000
0x844d9608 csrss.exe 440 424 10 311 1 0 2020-02-18 19:52:20 UTC+0000
0x84d59d40 services.exe 488 432 7 209 0 0 2020-02-18 19:52:21 UTC+0000
0x8466f030 lsass.exe 520 432 7 595 0 0 2020-02-18 19:52:21 UTC+0000
0x8466f600 lsm.exe 528 432 10 146 0 0 2020-02-18 19:52:21 UTC+0000
0x8465e3b0 winlogon.exe 536 424 4 115 1 0 2020-02-18 19:52:21 UTC+0000
0x846af568 svchost.exe 668 488 10 356 0 0 2020-02-18 19:52:21 UTC+0000
0x846c0728 svchost.exe 740 488 8 285 0 0 2020-02-18 19:52:21 UTC+0000
0x8861ead8 svchost.exe 804 488 21 467 0 0 2020-02-18 19:52:21 UTC+0000
0x846e6300 svchost.exe 860 488 23 487 0 0 2020-02-18 19:52:21 UTC+0000
0x846edb38 svchost.exe 884 488 39 988 0 0 2020-02-18 19:52:21 UTC+0000
0x847315c0 audiodg.exe 988 804 7 132 0 0 2020-02-18 19:52:21 UTC+0000
0x8475d728 svchost.exe 1060 488 15 557 0 0 2020-02-18 19:52:21 UTC+0000
0x846a4740 WUDFHost.exe 1164 860 9 202 0 0 2020-02-18 19:52:22 UTC+0000
0x847913f8 svchost.exe 1260 488 17 382 0 0 2020-02-18 19:52:22 UTC+0000
0x846a8348 spoolsv.exe 1372 488 13 300 0 0 2020-02-18 19:52:22 UTC+0000
0x84805318 svchost.exe 1432 488 20 314 0 0 2020-02-18 19:52:22 UTC+0000
0x848104a8 taskhost.exe 1480 488 10 211 1 0 2020-02-18 19:52:22 UTC+0000
0x84648560 taskeng.exe 1536 884 5 76 0 0 2020-02-18 19:52:23 UTC+0000
0x84885348 imdsksvc.exe 1720 488 3 41 0 0 2020-02-18 19:52:23 UTC+0000
0x848a3d40 coherence.exe 1760 488 6 62 0 0 2020-02-18 19:52:23 UTC+0000
0x848a8b38 prl_tools_serv 1796 488 11 160 0 0 2020-02-18 19:52:23 UTC+0000
0x848b2728 dwm.exe 1832 860 4 73 1 0 2020-02-18 19:52:23 UTC+0000
0x848c52e8 coherence.exe 1840 1760 4 40 1 0 2020-02-18 19:52:23 UTC+0000
0x848ca878 dllhost.exe 1880 488 8 97 0 0 2020-02-18 19:52:23 UTC+0000
0x848df648 prl_tools.exe 1904 1796 10 144 1 0 2020-02-18 19:52:23 UTC+0000
0x848e4578 explorer.exe 1964 1808 31 873 1 0 2020-02-18 19:52:23 UTC+0000
0x84871b10 dllhost.exe 824 488 17 204 0 0 2020-02-18 19:52:24 UTC+0000
0x8486cd40 svchost.exe 696 488 11 307 0 0 2020-02-18 19:52:24 UTC+0000
0x848b3a00 prl_cc.exe 2204 1904 32 385 1 0 2020-02-18 19:52:24 UTC+0000
0x84992d40 msdtc.exe 2536 488 15 155 0 0 2020-02-18 19:52:25 UTC+0000
0x83940728 sppsvc.exe 2792 488 4 148 0 0 2020-02-18 19:52:28 UTC+0000
0x839cab10 SearchIndexer. 2868 488 13 588 0 0 2020-02-18 19:52:30 UTC+0000
0x83c0ad40 TrueCrypt.exe 3364 3188 7 388 1 0 2020-02-18 19:52:44 UTC+0000
0x837f5d40 notepad.exe 3552 1964 2 61 1 0 2020-02-18 19:53:07 UTC+0000
0x82a7e568 iexplore.exe 3640 1964 16 468 1 0 2020-02-18 19:53:29 UTC+0000
0x847c8030 iexplore.exe 3696 3640 25 610 1 0 2020-02-18 19:53:29 UTC+0000
0x848a7030 mspaint.exe 2648 1964 18 383 1 0 2020-02-18 19:54:01 UTC+0000
0x82b8bd40 svchost.exe 1660 488 7 112 0 0 2020-02-18 19:54:01 UTC+0000
0x83bf0030 mscorsvw.exe 2908 488 7 75 0 0 2020-02-18 19:54:24 UTC+0000
0x82bf4d40 dllhost.exe 628 668 6 86 1 0 2020-02-18 19:56:22 UTC+0000
0x82bf4768 dllhost.exe 1728 668 6 81 0 0 2020-02-18 19:56:22 UTC+0000
0x83922030 DumpIt.exe 1500 1964 2 39 1 0 2020-02-18 19:56:22 UTC+0000
0x82bf3408 conhost.exe 1872 440 2 51 1 0 2020-02-18 19:56:22 UTC+0000
0x82b85b40 WMIADAP.exe 1120 884 6 91 0 0 2020-02-18 19:56:23 UTC+0000
0x82a9fb38 WmiPrvSE.exe 684 668 8 119 0 0 2020-02-18 19:56:24 UTC+0000
可疑进程:
TrueCrypt.exe
notepad.exe
iexplore.exe
mspaint.exe
DumpIt.exe
volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep "doc\|docx\|txt"
一开始以为和文本有关,尝试列出文本文件的进程
看到有个baidu[1].txt,提取出来打开看看
提取命令:
volatility -f mem.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001ea59620 -D ./ -u
没有有效信息
根据提示,可能在记事本里,dump notepad.exe
volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3552 -D./
取出来,扔winhex里找,因为之前提到了baidu,所以着重搜baidu
找到一个百度网盘的链接,但是需要提取码
想到找IE的浏览记录
volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory
发现有一个可疑的文件share.txt
用volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep Desktop
查看,
列出来的文件中没有这个share.txt,应该是被删除了。
这时候可以用取证大师恢复,也可以用一个自带的插件mftparser
volatility -f mem.raw --profile=Win7SP1x86_23418 mftparser > mftoutput.txt
查看导出的文本文档
strings mftoutput.txt | grep -A 20 share.txt
查看删除的文件,可以复制16进制转字符,这里直接就能看出密码是heem
下载下来是一个文件VOL,啥也看不出来,想到一开始那个进程,猜VOL文件是用TrueCrypt加密的虚拟磁盘文件
dump TrueCrypt进程
volatility -f mem.raw --profile=Win7SP0x86 memdump -p 3364 --dump-dir=./
到网上查可以用EFDD解key
uOjFdKu1jsbWI8N51jsbWI8N5
用veracrypt挂载
挂载步骤:
1.打开VeraCrypt软件
2.加载下载好的容器文件
3.选择一个盘符(如:K盘),然后点击左下角的“加载”
4.输入密码对话框中,输入密码:............
发现压缩包,需要密码
volatility -f mem.raw --profile=Win7SP1x86_23418 filescan |grep -E 'jpg|png|jpeg|bmp|gif'
用GIMP处理,位移(好像就是长度),先加宽度,再加高度,然后位移大胆拖,然后慢慢调宽
1YxfCQ6goYBD6Q
这里看不清的话可以选择用掩码爆破,得到flag
第二周——学习内存取证神器volatility的使用相关推荐
- 内存取证神器Volatility常用指令大全
内存取证神器Volatility常用指令大全 具体指令开头部分根据Volatility版本做修改即可 查找文件 volatility -f 19.mem --profile=Win7SP1x86_23 ...
- 20155303 2016-2017-2 《Java程序设计》第二周学习总结
20155303 2016-2017-2 <Java程序设计>第二周学习总结 教材学习内容总结 『注意』 "//"为单行批注符: "/*"与&quo ...
- 20172325 2018-2019-1 《Java程序设计》第二周学习总结
20172325 2018-2019-1 <Java程序设计>第二周学习总结 教材学习内容总结 3.1集合 集合是一种聚集.组织了其他对象的对象.集合可以分为两大类:线性集合和非线性集合. ...
- 20169220 网络攻防实践 第二周学习总结
20169220 赵京鸣 2016/2017-2 第二周学习总结 进度:1.教材第1-2章/12章 2.Kali教学视频1-5/36 3.查找2个安全工具/5 4.国内外黑客.电影书籍了解 5.lin ...
- 201871010123-吴丽丽《面向对象程序设计(java)》第二周学习总结
201871010123-吴丽丽<面向对象程序设计(java)>第二周学习总结 项目 这个作业属于哪个课程 h ...
- 201871010104-陈园园 《面向对象程序设计(java)》第二周学习总结
201871010104-陈园园 <面向对象程序设计(java)>第二周学习总结 项目 内容 这个作业属于哪个课程 ttps://www.cnblogs.com/nwnu-daizh/ 这 ...
- JAVA 第二周学习笔记
JAVA第二周学习笔记 一.变量 1.变量的本质 2.变量的三大要素 a.变量名: b.变量值: c.变量类型: 3.变量的定义和使用 4.课后小练习: 5.变量的定义和使用 二.运算符 1.赋值运算 ...
- 201871010128-杨丽霞《面向对象程序设计(java)》第二周学习总结
201871010128-杨丽霞<面向对象程序设计(java)>第二周学习总结 项目 内容 这个作业属于哪个课程 <https://www.cnblogs.com/nwnu-daiz ...
- Java 第二周学习总结
Java 第二周学习总结 一.数组 数组即一组用于存储相同数据类型的数据结构:数组是一种典型的线性结构(连续).比如将一些商品数据呈现到页面中,此时可以将所有商品存储到数组中进行传递.数组是一种引用数 ...
- Linux第二周学习笔记(7)
Linux第二周学习笔记(7) 2.13 文档查看cat_more_less_head_tail (1). cat命令 cat命令:用于查看一个文件的内容并将其显示在屏幕上 cat-A命令:显示所有的 ...
最新文章
- 多实例gpu_MIG技术快速提高AI生产率
- vue 增加js日志输出文件_Vue.JS项目导入导出JSON文件的方案之一,其他项目也可参考...
- 学习valueOf和toString,理解隐式转化规则
- MacBook的mission control的功能
- R语言分类算法之线性判别分析(Linear Discriminant Analysis)
- android adbd分析,android6.0 adbd深入分析(三)adb root重启adbd流程
- 第13章 集成学习和随机森林 学习笔记下 随机森林和集成学习
- 服务器ghost备份后无法进入系统还原,如下图,电脑开不起来了,重新ghost恢复备份的系统后启动依旧蓝屏,怎么办?...
- 计算机硬件维修书,计算机硬件维修手册
- 马斯克联名2000多AI专家誓言禁绝杀人机器人!发起人泰格马克将亲临AI World2018...
- PHP+MySQL民宿酒店管理系统源码 财务管理 设备管理 报表中心等
- H5app 调用手机摄像头拍照、录制视频并上传demo
- 宏病毒的研究与实例分析01——基础篇
- asp.net identity 基础概念篇-理解什么是声明
- linux 批量监控软件,Linux/Unix/Windows批量管理监控服务器软件
- EasyExcel 读取excel表 解决Empty row EasyExcel末尾出现非常多空白行跳过 EasyExcel跳过末尾空白行
- NetAlly Aircheck G2无线网络测试仪技术参数
- 卷积神经网络中feature map是什么
- Python 教程之 Pandas(14)—— 使用 Pandas 进行数据分析
- 北京计算机科学技术研究所,北京大学计算机科学技术研究所
热门文章
- 现在的媒体时兴“毁人不倦”?
- 三轴加速度传感器的驱动编程
- 微信小程序图片加载失败渲染层网络层错误
- 程序员必备Java API和类搜索辅助工具-Jadeite和Apatite
- 开发环境搭建——从零到实盘1
- EdgeBox_EHub_tx1_tx2_E100 开发板评测
- js 将图片置灰_将图片转换成黑白(灰色)的css和js的方法
- 使用viewer实现图片预览
- python constants_Python constants包_程序模块 - PyPI - Python中文网
- GIS空间分析 缓冲区分析与叠加分析1 选址分析(市区择房)