https://zhuanlan.zhihu.com/p/29952999 教程
Dumplt生成内存镜像.raw

volatility_2.6_win64_standalone.exe -f 镜像 imageinfo
获取imageinfo信息

volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw imageinfo

进程pslist

volatility_2.6_win64_standalone.exe -f QQQ-PC-20211012-092400.raw  --profile=Win7SP1x64 pslist >pslist.txt

以Yara签名扫描进程或内核内存

yarascan -Y "进程名称"

进程对象池扫描

psscan

网络连接

netscan

注册表配置单元池

volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw --profile=Win7SP1x86 hivelist

volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw --profile=Win7SP1x86
hivedump -o 0x05bc2008

打印注册表中UserAssist相关信息
userassist键值包含系统或桌面执行文件的信息,如名称、路径、执行次数、最后一次执行时间等。

volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw --profile=Win7SP1x86
userassist

提取执行的命令行历史记录cmdscan

volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw --profile=Win7SP1x86
cmdscan

从内存中转储密码哈希(LM / NTLM)

hashdump

获取注册表信息dumpregistry

--profile=Win7SP1x64 dumpregistry --dump-dir D:\zhucebiao

注册表工具
链接:https://pan.baidu.com/s/1NXWW5wInQfkp5DiDWBCcKA
提取码:9090




Volatility工具使用相关推荐

  1. kali 安装volatility_电子取证技术之实战Volatility工具

    原标题:电子取证技术之实战Volatility工具 本文转载自公众号:安全龙 作者:beswing Volatility 的安装 这次讲的是在linux下的取证,所以我安装的也是linux平台下的Vo ...

  2. Volatility取证工具使用学习日记

    Volatility取证工具还在学习,记录一下 目录 陇剑杯取证 世界技能大赛湖北省取证比赛 安洵杯取证赛题 长安杯 取证 本文章所需文件: 链接:https://pan.baidu.com/s/1T ...

  3. 内存取证常见例题思路方法-volatility (没有最全 只有更全)

    目录 1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交; 2.获取当前系统的主机名,将主机名作为Flag值提交; 3.获取当前系统浏览器搜索过的关键词,作 ...

  4. 强网杯2021 BlueTeaming (内存取证)

    翻译:Powershell脚本由恶意程序执行.包含power shellscript内容的注册表项是什么? 题目要求找到powershell执行的脚本储存的注册表地址 使用到工具 volatility ...

  5. 为什么黑客都用python-为什么黑客都用python Python在各领域都有着广

    说到都用,大家应该都不陌生,有人问黑客为什么喜欢用火狐,另外,还有人想问python是黑客语言吗,这到底是咋回事?事实上运用python成为黑客呢,小编为大家整理了为什么黑客都用python,跟我一起 ...

  6. 有关于取证的笔记——包含详细例题解析

    取证 前言 一.取证工具介绍 1.1 Volatility 1.1.1.镜像信息 1.1.2.扫描内存中的文件带条件过滤 1.1.3.进程查看 1.1.4.dump对应文件 1.1.5.根据pid 来 ...

  7. [cstc2021]wp

    文章目录 Misc RGB ZIP Memory_1 Memory_2 Web easyweb easyweb2 Misc RGB 给了一堆rgb值,用python把他们写出来 先因式分解一下,一个2 ...

  8. 2022年农信银网络安全竞赛3-2 ez_raw简单取证writeup

    下载解压ez_raw,根据题意判断文件应为内存镜像,用volatility工具分析. 1.扫描cmd命令行获得一串base64字符串 volatility -f .\ez_raw --profile= ...

  9. 2021陇剑杯部分wp

    2021陇剑杯 全是流量分析.麻了.只做了一部分. 参考链接 陇剑杯 个人 'WriteUp'-魔法少女雪殇 (snowywar.top) 陇剑杯Writeup(部分) - 惊觉 (leheaveng ...

  10. 2023 年上海市职业院校技能大赛高职组“信息安全管理与评估”赛项样题

    2023 年上海市职业院校技能大赛高职组"信息安全管理与评估"赛项样题 赛项时间 第一场比赛:13:00-17:30,共计4小时30分,含赛题发放.系统部署.收卷时间. 赛项信息 ...

最新文章

  1. springboot原生mysql写法_【Rainbond最佳实践】Spring Boot框架配置MySQL
  2. NetDevOps — NETCONF/YANG 协议
  3. ba+ii+plus模拟+android,财务计算器(BAII PLUS)
  4. 数据库系统概论:第七章 数据库设计
  5. CTFshow 反序列化 web257
  6. session 的用法
  7. 科大星云诗社动态20201215
  8. Java的算法讲解以及案例!
  9. 客户旅程_我如何充分利用freeCodeCamp的旅程
  10. it just sudo_just do it是什么梗
  11. 飞鸽传书2007绿色版EM为内部即时通讯
  12. 免费申请树葬、草坪葬、花坛葬!东胜区殡仪馆发布2019年清明节祭奠服务安排!...
  13. 一、Oracle创建账户、修改、删除账户及授权和撤销授权。
  14. 数据可视化(箱线图、直方图、散点图、联合分布图)
  15. 深度学习/自动驾驶数据集大集合(目标检测/图像分割/语义分割/图像分类/)
  16. 印象笔记android,印象笔记(Evernote) Android SDK 更新
  17. 如何基于4P理论做运营?
  18. 2019计算机打字题,2019打字年度考核个人总结
  19. Palindrome Pairs
  20. k8s笔记14--初次体验 开源云原生软件交付平台zadig

热门文章

  1. Excel高手都会的Shift快捷键7个用法,让工作效率翻倍
  2. 招投标异议与政府采购质疑二者差异大比拼,你必须掌握
  3. Tom猫游戏代码iOS 素材
  4. 计算机建模和仿真实训报告,cad与cam实训报告范文3篇
  5. colab使用入门(1)-安装库,保存/加载笔记本
  6. java计算机毕业设计bs架构实习管理系统MyBatis+系统+LW文档+源码+调试部署
  7. 吃什么食物对眼睛最好
  8. 【学习笔记】利用API进行数据采集或获取
  9. Wox - 开源免费强大的快捷启动器辅助工具,快速高效率打开软件/搜索文件!
  10. 洛谷题解P1428 小鱼比可爱