[VM]Get Password from Virtual Machine Memory

最新推荐文章于 2023-01-04 09:12:46 发布
最新推荐文章于 2023-01-04 09:12:46 发布
阅读量985 收藏 1
点赞数 1
分类专栏: 网络安全 文章标签: Password VMware Memory
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dearggae/article/details/56835023
版权
本文介绍了如何从运行在ESXi 5.0上的Win7x86虚拟机内存转储文件中获取密码。首先,暂停目标虚拟机并使用vmss2core工具将vmss文件转换为dmp文件。接着,将内存转储文件传输到处理虚拟机,并使用WinDbg加载符号。最后,加载mimilib.dll并运行Mimikatz来定位并提取lsass进程中的密码。
摘要由CSDN通过智能技术生成

Env.

Virtual Machine

Target VM : win7x86 ( Build 7600) Based on ESXi 5.0
Process VM : Windows 7 SP1 x86 Build 7601

Tools

Name Version
vmss2core-Linux64 January 13, 2017 v1.0.1
WinDbg 6.11.0001.404 x86
WinSCP 5.9.3 Build 7136
mimilib.dll win32 from mimikatz_trunk2.1 20160229

Step

Get dmp file

  1. Pause the Running Target VM.
  2. Copy vmss2core-Linux64 to ESXi (/vmfs/volumes/…/win7x86/) with WinSCP.
  3. Use vmss2core to convert win7x86-xxx.vmss into a dmp file(memory.dmp).
  4. Copy memory.dmp to Process VM (c:/vmss/) with WinSCP.
/vmfs/volumes/589af095-50718614-d536-005056881c2e/win7x86 # ./vmss2core-Linux64 -W7600 "win7x86-bfdbf0ed.vmss"
vmss2core version 8437677 Copyright (C) 1998-2017 VMware, Inc. All rights reserved.
Win32: found DDB at PA 0x2779be8
Win32: MmPfnDatabase=0x827b9700
Win32: PsLoadedModuleList=0x82799810
Win32: PsActiveProcessHead=0x82791e98
Win32: KiBugcheckData=0x827b1a00
Win32: KernBase=0x82651000

Win32: NtBuildLab=0x826a1068
CoreDumpScanWin32: MinorVersion set to 7600
... 10 MBs written.
... 20 MBs written.
... 30 MBs written.
...
... 1010 MBs written
最低0.47元/天 解锁文章
bravewinds
关注
专栏目录
VMware虚拟机蓝屏开不了机如何取dump文件
hzf202的博客
10-17 2085
当我们使用VMware虚拟机时,可能会遇到虚拟机蓝屏,重启后也无法恢复,循环蓝屏的问题。 为了分析蓝屏,我们至少要取出dump文件。那么在循环蓝屏的情况下,怎样才能取出dump文件呢? 本文就将介绍一种VMware虚拟机循环蓝屏情况下取dump文件的方法。 1、在该虚拟机蓝屏的时候,将其挂起 挂起后,在虚拟机所在的路径下,会自动生成.vmss和.vmem两个文件。 如果虚拟机不挂起,dump文件无...
抓取虚拟机DUMP文件
12-10 3935
运行中的windows虚拟机可以ping通,但是无法远程登录,所有应用都无法正常工作,需要通过VC抓取widows虚拟机dump文件进行分析。操作步骤如下: 创建快照 登录VC,找到有问题的虚拟机(千万别强制关机),右键创建快照 将快照命名 快照生成的时间可能较长,待生成完毕后,会显示如下图所示 将该快照下载到磁盘空间较充足的windows
虚拟机无故关机或崩溃的日志搜集
Pespi_Co1a的博客
07-06 4361
简而言之:1.挂起崩溃的虚机;2.收集此时vmss和vmem文件。3.上传或转储vmss文件。方可容易定位原因所在 1.第一时间不要重启虚机,先挂起虚拟机,然后在存储找到vmss或vmsd内存文件--这对收集vmkernel或状态等有作用 https://kb.vmware.com/s/article/2005831【在ESX / ESXi上挂起虚拟机以收集诊断信息】 2.利用vmss2corevmss文件转储,以便厂家或其他用户分析当时故障情况 https://kb.vmware.com..
101个免费的VMware工具
荒野求生的博客
01-05 3182
如果您习惯使用VMware产品,则可能会发现自己需要一个或多个工具来帮助您完成特定任务。无论是支持自动化平台的PowerCLI脚本,重新获得洞察力的监视和分析工具,还是共享存储数据存储区的SAN仿真软件,在我们提供的101种免费VMware工具下面的列表中,您肯定会找到满足您需求的东西一起。 您可以通过单击产品名称或下载链接立即下载大多数工具和实用程序。在某些情况下,您需要填写注册表格并回复激活...
【图文解说】Azure 安装 虚拟机(Virtual Machine
sevenfish的专栏
11-08 6005
  因为可以免费注册,使用30天($200 额度),所以注册一个了解一下,注册网址:https://azure.microsoft.com/zh-cn/free/   我这文章主要介绍在 Azure 上架设 CentOS 虚拟机,按照以下步骤你也可以选择任何Windows和Linux的 Server(参考步骤4)。   可以通过三种方法(择其一)建立虚拟机: Azure Portal ...
Virtual Machine API Calls and Automation Management Tips
A Virtual Machine API is a programming interface used for managing and controlling virtual machines. With the API, operations such as creating, configuring, monitoring, and destroying virtual machines...
Virtual Machine Cloning and Template Creation: Improving Development and Testing Efficiency
In this chapter, we will delve into the foundational concepts of virtual machine cloning and template creation, encompassing the definition of virtual machine cloning, the concept of virtual machine ...
【vbox】Linux安装Virtual Box虚拟机实践记录--编辑中
小鱼菜鸟的博客
07-22 2053
目录 一、安装 方法一 方法二 二、使用 在centos 使用 常用命令 VBoxManage 命令行使用(设置) VBoxManage 命令操作,详细的网络设置命令 1.5 桥接网络(Bridged Networking) 1.6 内部网络(Internal networking) 1.7 仅主机模式(Host-only ...
Idea 启动中间件时报错:Java虚拟机运行错误(Virtual MachineError)
最新发布
joy_cd
01-04 1563
Java虚拟机运行错误
Java异常机制
qq_32247993的博客
09-06 85
异常体系结构 Java把异常当作对象处理,并定义一个基类java.lang.Throwable作为所有异常的超类。异常分为两类,错误Error和异常Exception。 Throwable: Error:Error是灾难性的致命错误 VirtualMachineError AWTError Exception:是可以被程序处理的 IOException RuntimeException 异常抛出和捕获 异常处理关键词: try catch finally throw throws 当有多个ca
java不能连接vm_VirtualMachine.attach(pid)失败,并出现java.io.IOException:无法连接到当前VM...
weixin_39821330的博客
02-28 2267
After going through this discussion, I'm led to believe the option to attach to the same VM, by default has been disabled in OpenJDK11.I'm trying to upgrade a java agent to OpenJDK11, during the test ...
服务端thrift 使用非阻塞式IO报异常Got an IOException in internalRead!
fuck487的博客
04-26 1759
参考:https://blog.csdn.net/z13192905903/article/details/103181204 参考:https://www.iteye.com/problems/85698 报错 Got an IOException in internalRead! 全文 2020-04-26 11:54:31.934 WARN 21088 --- [ ...
eclipse远程调试两种模式:
热门推荐
lishengc的专栏
07-19 1万+
eclipse远程调试两种模式: 一、服务端监听 (1)服务器端需执行程序前加参数  -Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=y,address=8000    说明:server=y 是指目标应用程序作为服务
"The test form is only available for requests from the local machine"解决方法
weixin_33989780的博客
02-21 164
最近刚写service,部署起来以后出现上述问题,想想肯定也有很多人碰到类似问题,一起来解决掉吧! 原因:NET Framework 1.1 定义了一个名为 HttpPostLocalhost 的新协议。默认情况下,这个新协议处于启用状态。该协议允许从与使用 HTTP POST 请求的 Web 服务位于同一计算机上的应用程序调用该服务。允许的前提条件是:POST URL 使用 http:...
Red5启动多个应用时端口冲突的解决办法
谢炜的专栏
11-17 1813
启动多个Red5的应用时,报端口冲突的错误“Address already in use”(Windows下没有,Linux下报错): 2009-11-17 12:01:04,330 [ContainerBackgroundProcessor[StandardEngine[Catalina]]] WARN  o.s.b.f.s.DisposableBeanAdapter - Couldn
Adobe ActionScript Virtual Machine 2 (AVM2) 概览
"Adobe ActionScript Virtual Machine 2 (AVM2) Overview" Adobe ActionScript Virtual Machine 2(AVM2)是Adobe Systems开发的一个关键组件,用于解释和执行基于ActionScript 3的代码,它是Flash Platform的核心...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值