内存取证常见例题思路方法-volatility (没有最全 只有更全)
目录
1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交;
2.获取当前系统的主机名,将主机名作为Flag值提交;
3.获取当前系统浏览器搜索过的关键词,作为Flag提交;
4.获取当前内存文件的 ip地址
5.当前系统中存在的挖矿进程,请获取指向的矿池地址,将矿池的IP地址作为. Flag值提交(局域网ip);.
6.恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。
7.请将内存文件中的剪贴板内容作为flag 值提交;
8.从内存文件中获取记事本的内容,并将该内容作为flag值提交;
9.从内存文件中获取截图的内容,并将该内容作为flag值提交;
10.从内存文件中获取黑客进入系统后下载的图片,将图片中的内容作为 Flag值提交。
11.查看被删除的文件里的内容
12.最后一次更新时间,运行过的次数为 Flag值提交。
13.将最后一次cmd的命令当作flag
加油各位( •̀ ω •́ )y 期待与君再相逢
决定出一期内存取证常见题型的文章,利于诸君平时做题 文章也会持续更新
如果需要详细的安装教程和插件使用请查看以下文章
内存取证-volatility工具的使用 (史上更全教程,更全命令)_路baby的博客-CSDN博客内存取证-volatility工具的使用 (史上更全教程,更全命令)安装步骤 命令解析 工具插件分析 例题讲解https://blog.csdn.net/m0_68012373/article/details/127419463
1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交;
先获取内存文件的profile,使用imageinfo 插件即可
volatility -f xxx.vmem imageinfo
使用 "SAM\Domains\Account\Users\Names"查看用户(这一步可有可无)
volatility -f xxx.vmem --profile=[操作系统] printkey -K "SAM\Domains\Account\Users\Names"
破密码
volatility -f xxx.vmem --profile=[操作系统] hashdump(hashcat或者john 去破解)
volatility -f xxx.vmem --profile=[操作系统] mimikatz
volatility -f xxx.vmem --profile=[操作系统] lsadump
2.获取当前系统的主机名,将主机名作为Flag值提交;
volatility -f xxx.vmem --profile=[操作系统] printkey -K "ControlSet001\Control\ComputerName\ComputerName"
volatility -f xxx.vmem --profile=[操作系统] envars(查看环境变量)
3.获取当前系统浏览器搜索过的关键词,作为Flag提交;
volatility -f xxx.vmem --profile=[操作系统] iehistory
4.获取当前内存文件的 ip地址
volatility -f xxx.vmem --profile=[操作系统] netscan
volatility -f xxx.vmem --profile=[操作系统] connscan
volatility -f xxx.vmem --profile=[操作系统] connections
5.当前系统中存在的挖矿进程,请获取指向的矿池地址,将矿池的IP地址作为. Flag值提交(局域网ip);.
volatility -f xxx.vmem --profile=[操作系统] netscan(找唯一一个已建立的 ESTABLISHED)
6.恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。
volatility -f xxx.vmem --profile=[操作系统] pslist -p [子进程号]
(子进程好上一题可知)
得到父进程
然后在通过通过svcscan可以查询服务名称,根据父进程找到对应服务名
volatility -f xxx.vmem --profile=[操作系统] svcscan
7.请将内存文件中的剪贴板内容作为flag 值提交;
volatility -f xxx.vmem --profile=[操作系统] clipboard
8.从内存文件中获取记事本的内容,并将该内容作为flag值提交;
volatility -f xxx.vmem --profile=[操作系统] editbox
volatility -f xxx.vmem --profile=[操作系统] notepad
9.从内存文件中获取截图的内容,并将该内容作为flag值提交;
volatility -f xxx.vmem --profile=0S screenshot --dump-dir=./
10.从内存文件中获取黑客进入系统后下载的图片,将图片中的内容作为 Flag值提交。
volatility -f xxx.vmem --profile=[操作系统] filescan | grep -E "png|jpg|gif|bmp|zip|rar|7z|pdf|txt|doc"
11.查看被删除的文件里的内容
volatility -f xxx.vmem --profile=[操作系统] mftparser
12.最后一次更新时间,运行过的次数为 Flag值提交。
volatility -f xxx.vmem --profile=[操作系统] userassist
13.将最后一次cmd的命令当作flag
volatility -f xxx.vmem --profile=[操作系统] cmdscan
加油各位( •̀ ω •́ )y 期待与君再相逢
内存取证常见例题思路方法-volatility (没有最全 只有更全)相关推荐
- MISC之内存取证_Kali环境下使用volatility
文章目录 前言 一.安装volatility及相关依赖文件 二.例题 1.memory.raw 2.Cookie.raw 3.forensics.raw 4.disk.img 4.memory_5 前 ...
- 内存取证之volatility及案例演示
内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
- 命名空间不能直接包含字段或方法之类的成员_Linux内存取证:解析用户空间进程堆(中)...
上文我们对解析用户空间进程堆的动机和历史,做了一个简要的概述.另外,我们Glibc堆的3层结构也做了一些概述,这些结构是解析用户空间进程堆的关键.至于每个结构所起的作用,请看本文的分析. 内存视图 本 ...
- 内存取证——volatility命令
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
- 利用Volatility进行Windows内存取证分析(一):初体验
简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆 ...
- 内存泄漏常见场景及处理方法
1.Java垃圾回收(GC) Java 是如何管理内存 为了判断Java中是否有内存泄露,我们首先必须了解Java是如何管理内存的.Java的内存管理就是对象的分配和释放问题.在Java中,程序员需要 ...
- 常见的内存泄漏原因及解决方法
常见的内存泄漏原因及解决方法 参考文章: (1)常见的内存泄漏原因及解决方法 (2)https://www.cnblogs.com/leeego-123/p/12187677.html 备忘一下.
- Android 系统(87)---常见的内存泄漏原因及解决方法
常见的内存泄漏原因及解决方法 (Memory Leak,内存泄漏) 为什么会产生内存泄漏? 当一个对象已经不需要再使用本该被回收时,另外一个正在使用的对象持有它的引用从而导致它不能被回收,这导致本该被 ...
- Android开发中常见的内存泄露案例以及解决方法总结
Android开发中常见的内存泄露案例以及解决方法总结 参考文章: (1)Android开发中常见的内存泄露案例以及解决方法总结 (2)https://www.cnblogs.com/shen-hua ...
最新文章
- HDU1811 Rank of Tetris 拓扑排序+并查集 OR 差分约束最短路+并查集
- [AngularJS] “多重路由”嵌套模块——AngularJS“路由”嵌套学习资料教程
- onedrive目录PHP源码,另一个OneDrive目录索引应用 OLAINDEX
- 《从零开始学Swift》学习笔记(Day 33)——属性观察者
- TCP/IP总结(1)分层
- 剑指offer(11-25题)详解
- vs工程移植报错:缺少MSVCP140D.dll ,CONCRT140D.dll ucrtbased.dll vcruntime140d.dll错误。
- 【转】ABAP的坑2
- EasyUI中Messager消息框的简单使用
- android客户端cookies,android – 将cookie添加到客户端请求OkHttp
- 如何避免踩坑--初创技术团队组建风险预估
- Java switch的使用细节和使用注意
- IDEA ---- 插件
- Date对象中的方法
- android -- 蓝牙 bluetooth (五)接电话与听音乐
- Photoshop 入门教程「4」如何使用撤消命令?
- 用CIL写程序:从“call vs callvirt”看方法调用
- 错误	 D8016	“/ZI”和“/GL”命令行选项不兼容
- 《阵列信号处理及MATLAB实现》绪论、矩阵代数相关内容总结笔记
- Symbol数据类型
热门文章
- 电源开关电源200W 12V 24V,电源架构PFC+LLC+同步整流,高效率高功率因数
- 分列:将excel单元格的内容拆分为两列
- STM32F103C8T6+ST7735TFT LCD彩屏驱动程序
- 优秀架构师必须掌握的架构思维 - 菜鸟架构(转载)
- JavaScript沙箱(环境,黑盒)
- 什么是前提、行为及后果?
- 10.32/10.33 rsync通过服务同步 10.34 linux系统日志 10.35 scre
- 科学的失控与范式的超越——《侏罗纪公园》读后感
- html页面宽度1920,网页banner尺寸1920
- 比 Navicat 还要好用,功能还很强大的数据库管理工具!
文章目录 前言 一.安装volatility及相关依赖文件 二.例题 1.memory.raw 2.Cookie.raw 3.forensics.raw 4.disk.img 4.memory_5 前 ...
内存取证之volatility及案例演示 简介 volatility基础命令 案例讲解 [护网杯]Easy_dump [安洵杯]Administrator 's_secret 简介 Volatilit ...
上文我们对解析用户空间进程堆的动机和历史,做了一个简要的概述.另外,我们Glibc堆的3层结构也做了一些概述,这些结构是解析用户空间进程堆的关键.至于每个结构所起的作用,请看本文的分析. 内存视图 本 ...
文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...
简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆 ...
1.Java垃圾回收(GC) Java 是如何管理内存 为了判断Java中是否有内存泄露,我们首先必须了解Java是如何管理内存的.Java的内存管理就是对象的分配和释放问题.在Java中,程序员需要 ...
常见的内存泄漏原因及解决方法 参考文章: (1)常见的内存泄漏原因及解决方法 (2)https://www.cnblogs.com/leeego-123/p/12187677.html 备忘一下.
常见的内存泄漏原因及解决方法 (Memory Leak,内存泄漏) 为什么会产生内存泄漏? 当一个对象已经不需要再使用本该被回收时,另外一个正在使用的对象持有它的引用从而导致它不能被回收,这导致本该被 ...
Android开发中常见的内存泄露案例以及解决方法总结 参考文章: (1)Android开发中常见的内存泄露案例以及解决方法总结 (2)https://www.cnblogs.com/shen-hua ...