介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。

volatility的安装

以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3

下载链接:https://www.volatilityfoundation.org/releases

下载好之后直接到根目录直接运行vol.py就可以!

题目链接:https://buuoj.cn/match/matches/3/challenges

命令

1.查询镜像信息

python vol.py -f mem.raw imageinfo

2.查看镜像进程

python vol.py -f mem.raw --profile=Win7SP1x86 pslist

在这里可以查看一些可疑进程,本题就有三个可疑进程

3.举例其中一个进程dump下来

python vol.py -f mem.raw --profile=Win7SP1x86 memdump -p 3364 -D

dump下来的进程可以具体分析

4.对dump下来的进程查找是否存在key,password等

举例:

python vol.py -f mem.raw --profile=Win7SP1x86 pslist | find "mspaint.exe"

5.windows常见进程名

TrueCrypt.exe 磁盘加密工具notepad.exe 自带记事本mspaint.exe 自带画图工具iexplore.exe IE浏览器DumpIt.exe 内存镜像提取工具

6.列举进程表

python vol.py -f mem.raw --profile=Win7SP1x86 hivelist

7.提取注册表信息

python3 vol.py -f mem.raw --profile=Win7SP1x86 hivedump -o 0x82a9fb38

8.获取ie浏览器历史记录

python vol.py -f mem.raw --profile=Win7SP1x86 iehistory

9.列举用户名以及密码

python vol.py -f mem.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

10.获取最后登录用户的用户名以及密码

python vol.py -f mem.raw --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows Nt\CurrentVersion\Winlogon"

11.查看cmd命令

python vol.py -f mem.raw --profile=Win7SP1x86 cmdscan

12. 查看cmd详细情况

python vol.py -f mem.raw --profile=Win7SP1x86 cmdline

13.复制,剪切版

python vol.py -f mem.raw --profile=Win7SP1x86 clipboard
python vol.py -f mem.raw --profile=Win7SP1x86 dlllist -p 3820

注:后续如果有其他的命令会持续更新

volatility内存取证----命令演示相关推荐

  1. 浅析Volatility内存取证

    内存取证 Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统 Volatility是一款开源内存取证框架 ...

  2. volatility内存取证学习,美亚杯比赛版,密码+注册表

    内存镜像主要是 windows,linux可能考 工具主要是volatility 有很多工具软件 拿到内存后,格式很多,mem,emp后缀名不一样,不影响解析,第一步: 要知道内存镜像的架构,知道内存 ...

  3. 内存取证之volatility及案例演示

    内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...

  4. 内存取证——volatility命令

    文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...

  5. 内存取证工具——volatility 常用命令

    点击可跳转 前言 正文 猜测镜像系统 调出shell窗口 列举进程 将内存中的某个进程保存出来 列举缓存在内存的注册表 列出SAM表中的用户 获取最后登录系统的用户 获取内存中正运行的程序 列举时间线 ...

  6. 内存取证常见例题思路方法-volatility (没有最全 只有更全)

    目录 1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交; 2.获取当前系统的主机名,将主机名作为Flag值提交; 3.获取当前系统浏览器搜索过的关键词,作 ...

  7. 内存取证神器Volatility常用指令大全

    内存取证神器Volatility常用指令大全 具体指令开头部分根据Volatility版本做修改即可 查找文件 volatility -f 19.mem --profile=Win7SP1x86_23 ...

  8. 利用Volatility进行Windows内存取证分析(一):初体验

    简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆 ...

  9. MISC之内存取证_Kali环境下使用volatility

    文章目录 前言 一.安装volatility及相关依赖文件 二.例题 1.memory.raw 2.Cookie.raw 3.forensics.raw 4.disk.img 4.memory_5 前 ...

  10. Volatility 内存数字取证方法

    计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是那种取证方式,都应尽量避免破环犯罪现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作,这里将研究内 ...

最新文章

  1. fail2ban使用教程
  2. python批量删缩进_Python工具PyCharm常用快捷键
  3. hdu 4305 概率dp
  4. POJ 1651 Multiplication Puzzle(类似矩阵连乘 区间dp)
  5. 21 FI配置-财务会计-为非征税事务分配税务代码
  6. OpenCV-计算自然对数cv::log
  7. python递归函数介绍
  8. c语言课程主要目的和内容,C语言程序设计课程教学大纲
  9. 【5】【心得】java 命令运行java程序 没有任何反应 编译没有报错
  10. 简述软件黑盒测试的方法,简述什么是黑盒测试方法
  11. 使用PCtoLCD2002字模提取软件
  12. 文档数据库(document database)和键值数据库(key-value database)的区别(NoSQL)
  13. android开发百度地图LocationClient找不到 解决
  14. 【英语语法入门】 第22讲 完成时
  15. 事务中的多线程引发的怪异现象
  16. python网课什么平台好-这些AI课网课最具人气!不仅免费、系统,还附带链接 | 资源...
  17. 华硕笔记本提示android,华硕主板电脑和华硕笔记本开启VT进BIOS设置方法教程
  18. 查看电脑系统是否永久激活
  19. 厦门大学计算机近3年分数线,从近3年数据分析厦门大学在职研究生2018年录取分数线趋势...
  20. 怎么限制使用计算机软件,如何禁止计算机用户使用IE浏览器

热门文章

  1. HTTP协议基础及报文抓包分析
  2. 【有限差分法】(一)有限差分法的基本流程与常用格式
  3. 基于Java的连连看游戏设计与实现(含源文件)
  4. android获取键值对,Android应用开发android中的键值对实例讲解
  5. 捷联式惯导系统初始对准
  6. bex5 mysql_bex5 库存系统的增删改查等功能对MYSQL数据库的维护操作 Windows Develop 276万源代码下载- www.pudn.com...
  7. js导出excel文件
  8. “一路有你”——迷你TXT小说阅读器 V2.8 正式版 发布!
  9. Emu8086下载和注册
  10. 常用的网络传输协议:UDP和TCP