取证工具volatility插件版学习记录

最新推荐文章于 2024-05-27 16:22:33 发布
最新推荐文章于 2024-05-27 16:22:33 发布
阅读量754 收藏 10
点赞数 9
分类专栏: 工具 ctf 文章标签: volatility 取证 ctf 乌鸦安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnmmd/article/details/135238122
版权
工具 同时被 2 个专栏收录
38 篇文章 16 订阅
订阅专栏
ctf
2 篇文章 0 订阅
订阅专栏

更新时间:2023年12月18日11:48:29
image.png

1. 背景描述

在以前学习过volatility的基础功能,主要是使用volatility独立版进行学习的,前几天遇到一个ctf赛事,需要用到的是volatilitymimikatz模块,因为以前没使用过那个模块,当时也没时间去做,后面对其复盘分析的时候,发现配置这个volatility的插件环境还是稍微有点点的复杂的,所以在这里记录下。

在某ctf题里面,题目描述如下:

easy取证
题目内容:据情报显示,嫌疑人的电脑中藏有秘密信息,请从内存镜像中找到它,flag格式:DASCTF{xxxxxxx} 
题目难度:容易

这个赛题是一个内存取证 + wordsnow隐写

关于snow隐写的部分:https://www.cnblogs.com/xiaoqi-ctf/p/17911881.html

在这里我只对volatility的插件版如何获取密码进行学习。

在这里使用独立版volatility分析了一下,获取了进程:

./volatility -f mem.raw imageinfo

image.png

打印了当时的桌面截图:

./volatility -f mem.raw --profile=Win7SP1x64 screenshot -D  ./result

image.png

session_1.WinSta0.Default.png

从这里面看到,flag应该是在这个图片里面的,所以我就把这个内存里面的桌面还原了:

image.png
在这里插入图片描述

在这里插入图片描述

还在里面提取到了一个机密.docx文件,这个文档打开之后是空的,但是显示是有大小的,这个就是snow隐写,关于这部分,大家可以自行百度下,在这就不展开了,我只做mimikatz插件的:

后来给了直接的提示:

misc-easy取证: 利用volatility的mimikatz插件提用户密码

要求使用mimikatz来获取密码信息,如果此时直接使用独立版的volatility来获取hash的,但是发现获取的是空密码:

$ ./volatility -f mem.raw --profile=Win7SP1x64 hashdump
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7ee3f236737b4c3a8f5de70ee15871a:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
CTF:1000:aad3b435b51404eeaad3b435b51404ee:692fd268ba22e3656137e7126b4c620e:::

image.png

这个密码都是空的。。。

当然,在这还有另外一种方法,使用lsadump来测试:

vol.py -f mem.raw --profile=Win7SP1x64 lsadump

image.png

但是感觉这个也对不上。。。

根据网上大佬的文章:
https://cloud.tencent.com/developer/article/2160360
可以分析到这种情况下获取的hash都是空的:

image.png

那就使用插件吧。

2. volatility安装与环境配置

在这里使用插件的话,咨询过橘子大佬之后,发现需要安装volatility完整版的,而且需要配置相应的环境才能使得插件生效,那就在这记录下。

2.1 环境准备

配置环境:kali linux2023
python环境:python2

参考文档:

https://blog.csdn.net/weixin_44895005/article/details/123917324

https://bbs.huaweicloud.com/blogs/399904

安装源码:https://github.com/volatilityfoundation/volatility 针对python2

2.2 完整版安装

在安装之前,需要配置下本地的pip2环境,因为在kali2023里面,pippip3都是python3的,并没有给python2配置pip,所以需要自己单独安装下,不然后面配置的环境都跑到python3里面去了。

image.png

所以在这里单独配置pip2

curl https://bootstrap.pypa.io/pip/2.7/get-pip.py -o get-pip.py

然后执行安装:

python2 setup.py install

安装完之后,使用pip2看下当前的版本信息:

image.png

2.3 完整版volatility安装

然后准备安装volatility
去下载https://github.com/volatilityfoundation/volatility,然后直接安装:

python2 setup.py install

image.png
因为我已经安装过了,在这里就不截图了。
然后继续安装必须的模块。

  • crypto模块
pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple

但是在你安装的时候,可能会出现报错:(类似这样的)

Command errored out with exit status 1: python setup.py egg_info Check the logs for full command ou

在这里需要对你的pip2进行升级:

pip2 install --upgrade setuptools

image.png

然后再次进行安装即可。

  • distorm3模块

在这里需要现将模块下载下来:
https://github.com/vext01/distorm3
使用命令行安装:

python2 setup.py install

image.png
如果此时执行的话,可能会报错:

image.png

在这里安装一下:

pip2 install construct

此时基础的模块就算安装好了,在任意的命令行输入命令看下:

image.png

2.3 插件安装

在这里我只安装mimikatz的插件:

https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py

在这可以用wget这个命令把这个文件下载到本地:

wget https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py

image.png

然后需要将这个文件移动到python2volatility的插件目录下:

cd /usr/lib/python2.7/dist-packages
mkdir volatility
cd volatility
mkdir plugins

然后将这个文件复制过去:

cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/

最后对于文件赋予权限:

chmod 777 *

做完之后,开始测试:

vol.py --plugin=./ -f mem.raw --profile=Win7SP1x64  mimikatz

image.png

此时就获取到了Administrator用的密码信息:

└─# vol.py --plugin=./ -f mem.raw --profile=Win7SP1x64  mimikatz

Volatility Foundation Volatility Framework 2.6.1
Module   User             Domain           Password                                
-------- ---------------- ---------------- ----------------------------------------
wdigest  Administrator    WIN-BGKRU85VR4H  H7Qmw_X+WB6BXDXa                        
wdigest  WIN-BGKRU85VR4H$ WORKGROUP
乌鸦安全
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存取证工具
09-30
本篇将详细阐述如何利用"DumpIt"和"Volatility Framework"这两个工具进行内存取证。 首先,我们需要了解"DumpIt"。DumpIt是一款免费的内存转储工具,它可以无须管理员权限就获取到Windows操作系统的物理内存快照。...
内存取证工具及依赖.rar
08-17
在本压缩包文件"内存取证工具及依赖.rar"中,我们重点关注的是在Kali Linux环境中使用的内存取证工具,这些工具依赖于Python 2本。 Kali Linux是一款基于Debian的开源操作系统,专门设计用于网络安全测试和渗透...
CTF 使用 Volatility 2 安 | 内存取证分析.vmem文件 | Volatility 2 适配 python 3
A Little Bean
04-20 2083
在做CTF的时候会碰到 .vmem 文件需要进行分析。vmem文件是虚拟机的分页文件,它备份宿主机文件系统上的guest主内存。此文件仅在虚拟机运行时存在,或者虚拟机崩溃时存在 [1]。这时候就需要 Volatility 文件进行分析。
Volatility工具——内存取证的解题思路步骤
2301_76524931的博客
09-22 433
内存取证的实战题目。
内存取证——volatility学习
最新发布
m0_75236662的博客
05-27 692
在做计算机最后两道题目碰到了MP3格式的镜像,分析发现是计算机内存,要进行内存取证。现在内存取证ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件通过盘古石比赛了解了内存取证类型的题目,在看别人题解的时候发现volatility为主流分析工具,安后大致了解了操作流程和功能点。
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2199
一、环境安 1.kali下安Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安步骤 命令解析 工具插件分析 例题讲解
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 1万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
volatility linux 计算机取证
07-11
Volatility是一款强大的开源计算机取证工具,专用于内存分析。它在Windows系统中广为人知,但同样支持Linux环境,如Kali Linux。Volatility的工作原理是解析和分析系统的内存映像,从中提取出有价值的信息,这对于...
计算机电子数据取证总结
06-07
Encase则是另一款广受欢迎的电子数据取证工具,尤其在Windows系统中。其主要知识点包括: 1. **图像复制**:Encase可以创建原始设备的完整镜像,确保在不破坏原始数据的情况下进行分析。 2. **文件恢复**:即使...
OtterCTF的Memory Forensics内存取证文件
12-09
2. **Volatility框架**: Volatility是一个开源的内存取证工具,用于分析内存转储。它提供了多种插件来解析内存数据,如查找进程、恢复密码、分析网络活动、发现恶意软件等。在处理OtterCTF.vmem时,参赛者可能需要...
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原volatility内存取证CheatSheet,赶紧学习一波!
volatility_plugins:波动性插件
06-09
波动率插件 波动性插件 我编写或做出重大贡献的框架插件集合。 PlugX 配置提取是插件的分支和更新,位于 支持更多配置大小并移至 ctypes 结构以解析配置 blob。 Andromeda 配置提取插件将尝试定位和提取 C2 URL、用于初始通信的 RC4 密钥以及 phone-home 格式字符串中的参数 安 仙女座插件需要 PyCrypto 和 python 模块。 建议手动安 yara 以获得最新本,Yara 站点上提供了说明。 在基于 Debian 的系统上,这些模块可以通过 $ apt-get install python-crypto python-yara PyCrypto 也可以通过 pip 安 $ sudo pip install pycrypto 仙女座插件需要 。 在 *nix(包括 Mac OS X、Linux、BSD 等)上,执
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility-plugins, 我为波动而编写的插件.zip
09-17
volatility-plugins, 我为波动而编写的插件 用户定义的波动插件我所做的插件:uninstallinfo.py - 从内存转储 HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallprefetch.py - 扫描预取文件的内存和转
volatility-plugins:波动性框架插件
04-29
挥发性插件 波动性框架插件 facebook_extractor 设置 只需在本地克隆存储库,然后在“ / volatility / volatility / plugins /”路径内复制facebook_extractor.py。 否则,请使用Volatility的--plugins参数指定其目录。 用法 facebook_extractor.py包含3个Volatility插件: facebookgrabinfo facebookcontacts facebook消息 对于每个插件,您可以使用以下命令查看其可用选项:$ python vol.py“ facebook-plugin” -h 通常,您首先需要运行facebookcontacts,以获取一些联系人ID和所有者的ID。 然后,您可以获取所有者的信息,并与其他联系人一起查找所有者的消息。 例子: 笔记 oid参数不是
内存取证分析基础,命令整理,包含vol2和vol3
ntrybw的博客
09-11 3467
C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址)-s(SAM的virtual值)此命令能获取密码的hash值,但是我个感觉没什么用,不如直接hashdump。netscan链接协议,本地地址,链接状态,,监听端口。
内存取证volatility最简安方法
shshshsh_的博客
11-10 1470
打开解压后的文件,打不开可以在windows下解压之后,在放到kali里面去,当然也可以给他增加权限:chmod +rxw volatility_2.6_lin64_standalone。最后在这里说一下哪个名字可以随便改,但是建议改成和我一样的方便自己和他人使用工具,在这里就三步你就能使用他,还不来试试。给你们看一下,名字随便改,不影响使用。进入目录修改文件名称。
volatility+插件(mimikatz)
sbingmo的博客
07-11 1万+
volatility+插件(mimikatz)
kali安volatility工具
06-28
### 回答1: 1. 首先在Kali Linux中打开终端。 2. 输入以下命令以更新Kali Linux:sudo apt-get update 3. 安Volatility工具:sudo apt-get install volatility 4. 等待安完成后,输入以下命令以验证安volatility -h 5. 如果成功安,将显示Volatility工具的帮助菜单。 6. 现在您可以使用Volatility工具来分析内存映像文件。 ### 回答2: Kali是一款流行的安全测试和渗透测试工具,它为安全研究人员和黑客提供了许多有用的工具和功能。Volatility是一款专门用于分析内存镜像的工具,它可以帮助用户发现潜在的恶意代码、病毒和其他安全漏洞。 Kali默认安Volatility工具,但在某些情况下,用户可能需要手动安它。以下是在Kali中手动安Volatility工具的步骤: 第一步:更新Kali系统 在安任何新软件之前,最好先更新Kali系统。可以使用以下命令更新: sudo apt-get update sudo apt-get upgrade 第二步:安Python Volatility需要使用Python 2.6或更高本,因此需要先安Python。可以使用以下命令安: sudo apt-get install python2.7 第三步:安依赖项 在安Volatility之前,需要一些依赖项。可以使用以下命令安: sudo apt-get install pcregrep libsmdev-utils libsmdev1 libsmraw-utils libsmraw1 python-crypto python-distorm3 python-pefile python-pxdlib python-pytsk3 python-boto python-dateutil python-defusedxml python-dfdatetime python-dfvfs python-dfwinreg python-oauth python-openpyxl python-requests python-xlrd sleuthkit zlib1g-dev 第四步:下载Volatility 可以从Volatility的官方网站https://www.volatilityfoundation.org/releases下载最新的稳定本。下载后将文件解压缩到Kali的文件系统中。 第五步:运行Volatility 现在,可以通过运行以下命令来启动Volatility: python vol.py 这将打开一个交互式命令行界面,用户可以使用其中的各种命令来分析内存镜像。 总结: 安Volatility需要在Kali上安Python和一些依赖项。然后,用户需要Volatility的官方网站上下载最新本。最后,用户可以使用python vol.py命令来启动Volatility,并使用其内置的命令来进行内存镜像分析。 ### 回答3: Kali Linux是基于Debian的Linux发行,它提供了各种安全测试和渗透测试工具。其中,Volatility是一种开源的内存取证工具,它可以帮助分析内存镜像中的恶意代码和缓解攻击活动。本文将讲述如何在Kali Linux中安Volatility工具。 第一步是从官方网站上下载Volatility工具。我们可以通过以下命令在终端中打开官方网站: ``` firefox https://www.volatilityfoundation.org/releases ``` 在浏览器中,我们可以找到可下载的最新本的工具。我们需要下载 .zip 文件。 第二步是解压缩下载的文件,可以通过以下命令在终端中进行: ``` unzip volatility-2.6.1.zip ``` 第三步是安Python和PIP。Volatility是基于Python编写的,因此我们需要先安Python才能使用它。我们可以使用以下命令检查Python是否已经安: ``` python --version ``` 如果Python未安,我们可以使用以下命令安Python: ``` apt install python3 apt install python3-pip ``` 第四步是安Volatility所需的依赖项。为了使Volatility正常运行,我们需要一些必要的依赖项。可以使用以下命令安它们: ``` pip3 install distorm3 pip3 install pycrypto pip3 install openpyxl pip3 install yara-python ``` 第五步是测试安。如果所有依赖项都正确安,我们就可以使用Volatility工具了。我们可以使用以下命令来验证安是否成功,并输出工具的帮助信息: ``` cd volatility-2.6.1/ python3 vol.py -h ``` 如果成功安,并且命令行界面输出了Volatility的帮助信息,那么我们就可以愉快地使用了。 综上所述,以上是在Kali Linux中安Volatility工具的步骤。Volatility工具是一种非常有用的内存取证工具,可以帮助我们分析攻击活动和恶意代码,从而更好地保护我们的系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值