volatility内存取证----命令演示
介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。
volatility的安装
以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3
下载链接:https://www.volatilityfoundation.org/releases
下载好之后直接到根目录直接运行vol.py就可以!
题目链接:https://buuoj.cn/match/matches/3/challenges
命令
1.查询镜像信息
python vol.py -f mem.raw imageinfo
2.查看镜像进程
python vol.py -f mem.raw --profile=Win7SP1x86 pslist
在这里可以查看一些可疑进程,本题就有三个可疑进程
3.举例其中一个进程dump下来
python vol.py -f mem.raw --profile=Win7SP1x86 memdump -p 3364 -D
dump下来的进程可以具体分析
4.对dump下来的进程查找是否存在key,password等
举例:
python vol.py -f mem.raw --profile=Win7SP1x86 pslist | find "mspaint.exe"
5.windows常见进程名
TrueCrypt.exe 磁盘加密工具notepad.exe 自带记事本mspaint.exe 自带画图工具iexplore.exe IE浏览器DumpIt.exe 内存镜像提取工具
6.列举进程表
python vol.py -f mem.raw --profile=Win7SP1x86 hivelist
7.提取注册表信息
python3 vol.py -f mem.raw --profile=Win7SP1x86 hivedump -o 0x82a9fb38
8.获取ie浏览器历史记录
python vol.py -f mem.raw --profile=Win7SP1x86 iehistory
9.列举用户名以及密码
python vol.py -f mem.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"
10.获取最后登录用户的用户名以及密码
python vol.py -f mem.raw --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows Nt\CurrentVersion\Winlogon"
11.查看cmd命令
python vol.py -f mem.raw --profile=Win7SP1x86 cmdscan
12. 查看cmd详细情况
python vol.py -f mem.raw --profile=Win7SP1x86 cmdline
13.复制,剪切版
python vol.py -f mem.raw --profile=Win7SP1x86 clipboard
python vol.py -f mem.raw --profile=Win7SP1x86 dlllist -p 3820
注:后续如果有其他的命令会持续更新
volatility内存取证----命令演示相关推荐
- 浅析Volatility内存取证
内存取证 Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统 Volatility是一款开源内存取证框架 ...
- volatility内存取证学习,美亚杯比赛版,密码+注册表
内存镜像主要是 windows,linux可能考 工具主要是volatility 有很多工具软件 拿到内存后,格式很多,mem,emp后缀名不一样,不影响解析,第一步: 要知道内存镜像的架构,知道内存 ...
- 内存取证之volatility及案例演示
内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
- 内存取证——volatility命令
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
- 内存取证工具——volatility 常用命令
点击可跳转 前言 正文 猜测镜像系统 调出shell窗口 列举进程 将内存中的某个进程保存出来 列举缓存在内存的注册表 列出SAM表中的用户 获取最后登录系统的用户 获取内存中正运行的程序 列举时间线 ...
- 内存取证常见例题思路方法-volatility (没有最全 只有更全)
目录 1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交; 2.获取当前系统的主机名,将主机名作为Flag值提交; 3.获取当前系统浏览器搜索过的关键词,作 ...
- 内存取证神器Volatility常用指令大全
内存取证神器Volatility常用指令大全 具体指令开头部分根据Volatility版本做修改即可 查找文件 volatility -f 19.mem --profile=Win7SP1x86_23 ...
- 利用Volatility进行Windows内存取证分析(一):初体验
简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆 ...
- MISC之内存取证_Kali环境下使用volatility
文章目录 前言 一.安装volatility及相关依赖文件 二.例题 1.memory.raw 2.Cookie.raw 3.forensics.raw 4.disk.img 4.memory_5 前 ...
- Volatility 内存数字取证方法
计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是那种取证方式,都应尽量避免破环犯罪现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作,这里将研究内 ...
最新文章
- fail2ban使用教程
- python批量删缩进_Python工具PyCharm常用快捷键
- hdu 4305 概率dp
- POJ 1651 Multiplication Puzzle(类似矩阵连乘 区间dp)
- 21 FI配置-财务会计-为非征税事务分配税务代码
- OpenCV-计算自然对数cv::log
- python递归函数介绍
- c语言课程主要目的和内容,C语言程序设计课程教学大纲
- 【5】【心得】java 命令运行java程序 没有任何反应 编译没有报错
- 简述软件黑盒测试的方法,简述什么是黑盒测试方法
- 使用PCtoLCD2002字模提取软件
- 文档数据库(document database)和键值数据库(key-value database)的区别(NoSQL)
- android开发百度地图LocationClient找不到 解决
- 【英语语法入门】 第22讲 完成时
- 事务中的多线程引发的怪异现象
- python网课什么平台好-这些AI课网课最具人气!不仅免费、系统,还附带链接 | 资源...
- 华硕笔记本提示android,华硕主板电脑和华硕笔记本开启VT进BIOS设置方法教程
- 查看电脑系统是否永久激活
- 厦门大学计算机近3年分数线,从近3年数据分析厦门大学在职研究生2018年录取分数线趋势...
- 怎么限制使用计算机软件,如何禁止计算机用户使用IE浏览器
热门文章
- HTTP协议基础及报文抓包分析
- 【有限差分法】(一)有限差分法的基本流程与常用格式
- 基于Java的连连看游戏设计与实现(含源文件)
- android获取键值对,Android应用开发android中的键值对实例讲解
- 捷联式惯导系统初始对准
- bex5 mysql_bex5 库存系统的增删改查等功能对MYSQL数据库的维护操作 Windows Develop 276万源代码下载- www.pudn.com...
- js导出excel文件
- “一路有你”——迷你TXT小说阅读器 V2.8 正式版 发布!
- Emu8086下载和注册
- 常用的网络传输协议:UDP和TCP