内存取证 | Volatility使用手册

最新推荐文章于 2024-05-15 02:26:14 发布
最新推荐文章于 2024-05-15 02:26:14 发布
阅读量1.6k 收藏 23
点赞数 41
文章标签: 前端 服务器 src
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/136731699
版权

volatility常用命令

查看volatility已安装的profile和插件

volatility --info
当我们拿到一个内存文件镜像的时候,一般来说我们应该先用 imageinfo,查看镜像的信息

imageinfo 查看系统摘要信息
-f 指定一个镜像文件

volatility -f imageinfo

图片

hashdump 查看用户名和密码

volatility -f --profile= hashdump
需要提前指定系统,就是从 Suggested Profile(s)中得到的几个系统版本中选取一个,有的选了没用,就换下一个,例如
 

图片


然后我们换一个,就可以看到经过hash的密码,这里用的是windows的一种hash算法,并不是md5,随后破解就可以了

图片

pslist 直接列出运行的进程

volatility -f --profile= pslist

图片

psxview 查看隐藏进程

volatility -f --profile= psxview

图片

netscan 查看网络连接状态

volatility -f --profile= netscan
有的时候netscan用了没反应,但是能用connscan

图片

connscan查看网络连接状态

volatility -f --profile= connscan

图片

connections 检索已建立的网络连接状态

volatility -f --profile= connections

图片

hivelist 列出注册表信息

volatility -f --profile= hivelist

图片

cmdline/cmdscan 提取内存中保留的cmd命令使用情况

volatility -f --profile= cmdline

图片

图片

filescan 扫描内存中的文件

volatility -f --profile= filescan
但是这样扫描得到的东西太多太杂乱,我们可以使用 grep 来筛选:
例如我们要找jpg图片,就在最后加一个 | grep “JPG”
volatility -f --profile= filescan | grep "JPG"

图片

图片

dumpfiles 将内存文件提取出来

dumpfiles:
-Q 指定文件的16进制地址
-D 要存储的位置

./就是存储到当前目录下

volatility -f --profile= dumpfile -Q -D ./
volatility -f win2008.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x0000000004643848 -D ./

图片

图片

然后我们点开图片,发现确实是我们刚才画的图片

图片

screenshot —dump-dir=./

查看桌面截图并存储到当前目录下
volatility -f win2008.vmem --profile=Win2003SP1x86 screenshot --dump-dir=./

图片

printkey -K "ControlSet001\Control\ComputerName\ComputerName" 查看当前主机名

原理是从注册表的system往下找,找到主机名
volatility -f win2008.vmem --profile=Win2003SP1x86 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

图片

printkey -K "SAM\Domains\Account\Ueers\Names" 查看系统用户名

volatility -f win2008.vmem —profile=Win2003SP1x86 printkey -K "SAM\Domains\Account\Ueers\Names"

图片

printkey -K 指定的是注册表的路径,查看主机名那个是从:HKEY_LOCAL_MACHINE\SYSTEM\下开始的,而用户名又是从HKEY_LOCAL_MACHINE\SAM\下开始的这个地方
 

图片

图片

memdump -p -D ./ 将进程程序提取出来

volatility -f win2008.vmem --profile=Win2003SP1x86 memdump -p 1152 -D ./

图片

图片

consoles 抓取控制台下执行的命令以及回显数据

图片

图片

mftparser 抓取删除的文件

图片

图片

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

免费领取安全学习资料包!


渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

黑客大佬
关注
  • 41
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内存取证 volatility
07-12
在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它来执行内存取证分析。 Volatility框架由多个插件组成,这些插件针对不同的取证任务进行了优化。例如,`pslist`插件用于列出系统...
Volatility内存取证
Atkx's Blog
06-03 3367
目录安装Volatility工具介绍CTF实战 安装Volatility 新版kali不自带Volatility,需要自己安装源码编译 1.下载源码 https://pan.baidu.com/s/1r-9VC3aG-sP6wWziYNvXxA 提取码:4d4w 2.安装依赖 crypto库安装 安装pycryptodome pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple #如果不指定国内源,可能会出现超
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(2)
最新发布
2401_85013565的博客
05-15 774
amcache - 打印 AmCache 信息apihooks - 检测进程和内核内存中的 API 挂钩atoms - 打印会话和窗口站原子表atomscan - 原子表的池扫描器auditpol - 从 HKLM\SECURITY\Policy\PolAdtEv 打印出审计策略。
内存取证volatility及案例演示
m0_46467017的博客
08-27 2985
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。若没有不会安装可以查看这篇文章内存取证-Volatility安装使用以及一些CTF比赛题目。......
取证工具volatility插件版学习记录
crowsec
12-27 757
在以前学习过volatility的基础功能,主要是使用volatility独立版进行学习的,前几天看到一个赛题,需要用到的是volatility的mimikatz模块,因为以前没使用过那个模块,所以在这里记录下。
内存取证volatility常用命令
shshshsh_的博客
11-09 804
volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址。volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址。这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。
volatility命令使用 misc部分取证解题(部分内存取证
(●'◡'●)
07-13 3591
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取内存中的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
内存取证的框架
01-20
该为在内存取证中常用的框架,功能强大,使用该框架分析出电脑有无染上恶意代码或恶意病毒。
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
volatility内存取证学习,美亚杯比赛版,密码+注册表
ntrybw的博客
09-10 1423
密码主要是看后半段,蓝色部分,cmd5可以破解,输进去试一下,如果是闭网环境,那就需要相应软件,比如说hashcat一般31开头就是空密码,其他就去接一下就好。3:ntuser.dat (对应用户的注册表值,某种程度上,也可以佐证用户,就是有哪几个用户。解释hivelist,查看注册表信息,virtual是虚拟地址,physical是物理地址。要知道内存镜像的架构,知道内存是在什么操作系统下面获取的,最关键一步。要把内存里面的注册表信息导出,可以用可视化,dum那个,新建一个文件夹。开头一般是系统管理员,
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 2200
南华城里月如昼,十二玉楼非吾乡
内存取证volatility工具命令详解
Y525698136的博客
01-04 2258
内存取证volatility工具命令详解
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3352
内存取证神器Volatility常用指令大全
网络安全B模块(笔记详解)- 内存取证
weixin_57536426的博客
01-23 600
1.从内存文件中获取用户admin的密码并破解,将该密码作为flag值提交(密码长度为6个字符);2.获取内存文件中系统的IP地址,将IP地址作为flag值提交;3.获取内存文件中系统的主机名,将主机名作为flag值提交;4.内存文件的系统中存在挖矿进程,将矿池的IP地址作为flag值提交;5.内存文件的系统中恶意进程在系统中注册了服务,请将服务名称作为flag值提交。
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,需要了解Windows 2003操作系统的内存管理机制和数据结构。这样可以更好地理解内存中存储的数据的结构和格式,有助于提取和解释相关证据。例如,Windows 2003使用的是物理内存和虚拟内存的管理方式,需要理解这两种内存的分配与释放机制。 此外,还需要注意在进行内存取证时可能遇到的一些挑战和限制。例如,Windows 2003在32位系统上的内存限制为4GB,如果目标系统中的内存大于4GB,可能需要采取特殊的处理方式。另外,操作系统的版本和补丁等也会影响内存数据的分析和提取。 最后,进行内存取证时需要保持数据的完整性和可靠性,确保所提取的证据在法庭上具有可信度。因此,需要采用专业的取证工具和方法,并遵循取证规范和程序进行操作,记录下相关的过程和操作步骤。 综上所述,Windows 2003内存取证是通过分析和提取内存数据来获取相关证据的过程,需要借助专门的工具和技术,同时需要了解操作系统的内存管理机制和数据结构,保证数据的完整性和可靠性。这一过程在数字取证领域具有重要的应用价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值