Volatility使用与实战
一、安装Volatility
下载Volatility 2.6 Release
下载下来的文件放到/usr/local目录下,用户自己编译的软件默认会安装到这个目录下(放可执行文件也没问题吧)
1、解压命令:unzip FileName.zip
2、文件夹: mkdir
3、mv 改名volatility
//有可能会权限失败 那就单独把文件拿出来 使用
添加环境变量
echo $PATH
直接使用
二、案列实战
常用命令:
imageinfo 获取系统类型
cmdline 看详细情况 cmdscan
pslist 获取进程
hashdump 获取密码
filescan 扫描目录
modscan 隐藏文件名 文件夹
userassist 键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等
使用imageinfo插件来猜测dump文件的profile值:WinXPSP2x86
>1.txt 导出到1.txt文件 进行分析
svcscan 查看服务
filescan | grep flag 查找flag文件
volatility -f mem.vmem imageinfo
volatility -f mem.vmem --profile=WinXPSP2x86 pslist 获取进程
将内存中的某个进程数据以 dmp 的格式保存出来 。
volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p pid -D 目录
二进制编辑器 hexeditor 将以上保存的 dmp 文件打开,并进行调查取证的工作 。
hexeditor 1736.dmp
dump出来的文件为1464.dmp 。
Elcomsoft Forensic Disk Decryptor 的使用。
下载地址:Elcomsoft Forensic Disk Decryptor破解版-磁盘密码破解与恢复工具下载 v2.11 破解版(附带序列号) - 安下载
我们需要借助Elcomsoft Forensic Disk Decryptor(Elcomsoft硬盘取证解密器,简称为EFDD)软件来获取key和破解文件 。
。。。。。。。。。。。。。。。
PCTF{T2reCrypt_15_N07_S3cu2e}
参考:CTF题记——取证小集合_m0re的博客-CSDN博客_ctf 取证https://blog.csdn.net/qq_45836474/article/details/109540832
Volatility使用与实战相关推荐
- 信息安全管理与评估知识概括
一.应急响应// 内存取证Volatility imageinfo 获取系统类型 netscan 查看网络连接 cmdline 看详细情况 cmdscan iehistory查看浏览器历史记录 ps ...
- kali 安装volatility_电子取证技术之实战Volatility工具
原标题:电子取证技术之实战Volatility工具 本文转载自公众号:安全龙 作者:beswing Volatility 的安装 这次讲的是在linux下的取证,所以我安装的也是linux平台下的Vo ...
- QIIME 2教程. 07Cell帕金森小鼠Parkinson's Mouse(2021.2,最佳实战)
QIIME 2用户文档. 7帕金森小鼠教程 Parkinson's Mouse Tutorial 原文地址:https://docs.qiime2.org/2021.2/tutorials/pd-mi ...
- 敏捷项目管理实战第一天 敏捷开发SCURM的前世今生
开篇词 敏捷是互联网时代的超级管理术 你好,我是莫敏.自 2006 年开始接触敏捷,到 2010 年参与组织每年一届的敏捷大会,再到 2012 年加入腾讯先后从事项目管理和产品管理工作,可以说从过去到 ...
- 【Python数据科学 | 11】应用实战:我的第一个开源项目-基金定投回测工具
这是机器未来的第60篇文章 原文首发地址:https://robotsfutures.blog.csdn.net/article/details/127712752 <Python数据科学快速入 ...
- 学习笔记-Volatility
Volatility 文章作者 r0fus0d & Lorna Dane 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 ...
- python 股票数据挖掘_python数据分析之股票实战
原标题:python数据分析之股票实战 数据挖掘入门与实战 公众号: datadw 对于股票的研究我想,无论是专业人士还是非专业人士都对其垂涎已久,因为我们都有赌徒的心态,我们都希望不花太多的时间但是 ...
- 量化初步-《python与量化投资从基础到实战》——优矿策略
python与量化投资从基础到实战--策略初步 量化数据获取 优矿介绍 使用方式 日行情数据 因子数据 数据处理 数据合并 数据透视 数据过滤 数据获取与整理 数据转化: 标准化 哑变量 通联数据回测 ...
- 网络安全应急响应技术实战指南
文章转载:https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md 用于安全事件响应的工具与资源的列表 ...
- IDEA的Docker插件实战(Dockerfile篇)
IDEA的Docker插件实战(Dockerfile篇) IntelliJ IDEA的Docker插件能帮助我们将当前工程制作成Docker镜像.运行在指定的远程机器上,是学习和开发阶段的好帮手,本文 ...
最新文章
- 使数组中奇数位于偶数前面
- ImportError: Could not import backend for traitsui. Make sure you have a suitable UI toolkit like
- 关于Dockerfile那些事: 基础镜像的坑
- GDCM:提取DICOM文件的加密内容到der文件的测试程序
- Intellij idea的Dependencies波浪线
- 使用多个struts-config配置文件,模块化
- [原创]在windows下搭建基于apache的SVN环境
- SpringSecurity-1-AuthenticationSuccessHandler接口(登录成功之后的处理逻辑)
- 关于求已知整数数组的连续子数组的最大和的方法 ——基于软件工程的要求给予优化...
- CentOS6.7 SSH安装与配置
- 计算机图形学--方法篇(凹多边形的识别与判定方法)
- 数字图像处理技术与人脸识别
- 董桥《南山雨》(选自:旧时月色)
- 项目实战:Qt+OpenCV大家来找茬(Qt抓图,穿透应用,识别左右图区别,框选区别,微调位置)
- 函数防抖(debounce)和节流(throttle)在H5编辑器项目中的应用
- 基于matlab的蝗虫优化(Grasshopper Optimization Algorithm,GOA)算法仿真
- C语言inline详细讲解
- Python中用户输入与while循环
- PyTorch-Tutorials【pytorch官方教程中英文详解】- 1 Quickstart
- 论文解读:为了数据中心的未来,存算这对CP竟然又离了