[译]使用Volatility从memory dump获得密码

最新推荐文章于 2024-05-15 02:25:35 发布
最新推荐文章于 2024-05-15 02:25:35 发布
阅读量3.3k 收藏 1
点赞数 1
分类专栏: password windows 文章标签: python php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_16188/article/details/82611920
版权
原文地址:[url]https://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/[/url]

[b]1. 从memory dump 获得一些信息[/b] 
volatility imageinfo -f memorydumpfilename.raw

[img]http://dl2.iteye.com/upload/attachment/0104/7662/e88b3549-f9b4-347b-a2e3-116be144dcec.png[/img]
现在我们知道该memory dump的profile类型是Win7SP1x86
[b]2. 接下来我们获得注册表的位置[/b]
volatility hivelist -f memdumpfilename.raw –profile=Win7SP1x86(使用两个-,因为由于某些原因,他们显示为一个-)
[img]http://dl2.iteye.com/upload/attachment/0104/7664/51bfd3f0-e8e2-308a-9f43-612799122552.png[/img]
[b]3. 从内存中获得密码hash[/b]
我们需要知道system和sam key的起始位置,查找上图,copy SYSTEM和SAM位置的第一列,把输出保存到hashs.txt文件中 
volatility hashdump -f memdumpfilename.raw –profile=Win7SP1x86 -y 0x87c1a248 -s 0x8bfaa008 > hashs.txt  (double dashes in front of profile)

[img]http://dl2.iteye.com/upload/attachment/0104/7668/cf64998c-b239-36d0-8ae7-9ea61fa25fad.png[/img]
得到结果:
[img]http://dl2.iteye.com/upload/attachment/0104/7670/651c5c35-83ac-39bb-a5ea-e1e8af535ab1.png[/img]
iteye_16188
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
内存取证 volatility
07-12
内存取证 volatility
chrome_ragamuffin:使用Volatility的Google Chrome内部分析
01-31
波动率插件旨在从Google Chrome浏览器的地址空间中提取有用的信息。 该插件的目标是使分析Google Chrome运行实例成为可能。 从内存转储开始,Chrome Ragamuffin可以列出在哪个选项卡上打开了哪个页面,并且能够提取...
volatility3取证windows相关命令
Tokeii想躺平
09-25 2020
windows.info:显示正在分析的内存样本的OS和内核详细信息 windows.callbacks:列出内核回调和通知例程 windows.cmdline:列出进程命令行参数 windows.dlldump:将进程内存范围DLL转储 windows.dlllist:列出Windows内存映像中已加载的dll模块 windows.driverirp:在Windows内存映像中列出驱动程序的IRP windows.driverscan:扫描Windows内存映像中存在的驱动程序 windows.files
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(1)
最新发布
2401_85013565的博客
05-15 767
输入vol.py --h 查看官方做出的帮助翻如下用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件-d, --debug 调试Volatility--plugins=PLUGINS 要使用的其他插件目录(冒号分隔)--info 打印所有注册对象的信息存放缓存文件的目录--cache 使用缓存。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证 | Volatility使用手册
2301_80115097的博客
03-15 1603
当我们拿到一个内存文件镜像的时候,一般来说我们应该先用 imageinfo,查看镜像的信息 需要提前指定系统,就是从 Suggested Profile(s)中得到的几个系统版本中选取一个,有的选了没用,就换下一个,例如 然后我们换一个,就可以看到经过hash的密码,这里用的是windows的一种hash算法,并不是md5,随后破解就可以了 有的时候netscan用了没反应,但是能用connscan 但是这样扫描得到的东西太多太杂乱,我们可以使用 grep 来筛选: 例如我们要找jpg图片,就在最后加一
volatility内存取证学习,美亚杯比赛版,密码+注册表
ntrybw的博客
09-10 1432
密码主要是看后半段,蓝色部分,cmd5可以破解,输进去试一下,如果是闭网环境,那就需要相应软件,比如说hashcat一般31开头就是空密码,其他就去接一下就好。3:ntuser.dat (对应用户的注册表值,某种程度上,也可以佐证用户,就是有哪几个用户。解释hivelist,查看注册表信息,virtual是虚拟地址,physical是物理地址。要知道内存镜像的架构,知道内存是在什么操作系统下面获取的,最关键一步。要把内存里面的注册表信息导出,可以用可视化,dum那个,新建一个文件夹。开头一般是系统管理员,
Volatility3用法
江左盟的博客
05-24 1万+
简介 Volatility3是对Volatility2的重写,它基于Python3编写,对Windows 10的内存取证很友好,且速度比Volatility2快很多。对于用户而言,新功能的重点包括:大幅提升性能,消除了对--profile的依赖,以便框架确定需要哪个符号表(配置文件)来匹配内存示例中的操作系统版本,在64位系统(例如Window的wow64)上正确评估32位代码,自动评估内存中的代码,以避免对分析人员进行尽可能多的手动逆向工程。对于开发人员:更加轻松地集成到用户的第三方接口和库中,广泛的A
Linux volatility 扫描工具的使用
03-11
Volatility的核心理念是基于内存分析,它可以从内存映像中提取各种数据,包括进程列表、网络连接、密码哈希、注册表项等。Volatility依赖于插件架构,这意味着它拥有众多插件来处理特定的分析任务,这些插件针对不同...
win10_volatility-win10_compressed_memory (1).zip
05-16
在实际操作中,取证人员还需要结合其他工具和方法,如使用 volatility 的 `modules` 插件来查找已加载的模块,或使用 `hashdump` 插件来获取密码哈希,以全面了解系统的状态。此外,理解Windows 10的内核结构、内存...
volatility_2.6_mac64_standalone.zip
05-16
在信息安全领域,内存取证(Memory Forensics)是一种关键的技术手段,用于在计算机系统内存中寻找和分析潜在的犯罪证据或安全威胁。Volatility是一款开源的、强大的内存取证框架,广泛应用于恶意软件分析、网络安全...
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
关于我在windows使用volatility取证这档事
u011250160的博客
09-24 6373
官网下载地址:https://www.volatilityfoundation.org/releases volatility3的官方文档:https://volatility3.readthedocs.io/en/latest/basics.html 下载 看清有两个版本,用法不一样 第一次我下载了Volatility 2.6 Windows Standalone Executable (x64) 结果执行Volatility.exe老是报出error 然后我果断删除了2.6 下载了3.0 版本差异 而
内存取证——volatility命令
Lemon's blog
11-05 9364
文章目录前言常用命令0x01:查看镜像系统0x02:列举进程0x03:列举注册表0x04:获取浏览器浏览历史0x05:扫描文件0x06:列举用户及密码0x07:获取屏幕截图0x08:其他命令总结 前言 经常遇到内存取证的题目,就把volatility一些常见的命令给总结下来,方便之后自己的做题。 常用命令 0x01:查看镜像系统 volatility -f 1.raw imageinfo 支持的系统中有Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, W
Volatility工具指令篇
chanyi0040的博客
09-02 1万+
Volatility入门指令篇: Volatility -f name imageinfo volatility -f name pslist --profile=WinXPSP2x86 列举进程: volatility -f name --profile=WinXPSP2x86 volshell dt("_PEB") 查看进程环境块 volatility -f name --profile...
LiME + volatility2.4进行内存读取
天高海阔 扬帆远行
07-31 2516
volatility_2.4是一个内存dump内容查看工具。下载地址安装需要python2.6,直接在代码目录下./configure make && make install即可。然后执行python vol.py --info查看输出。可能会提示找不到Crypto.Hash和libstorm3,找到对应的python模块,python setup.py install即可。需要一个dump内存的
volatility获取哈希值报错
Takarada Rikka的博客
08-08 901
python vol.py hashdump -d -d -f "Windows 7-Snapshot2.vmem" --profile=Win7SP1x64 -y 0xfffff8a000024010 -s 0xfffff8a001294410 执行后报错,原因是缺少distorm3和pycrypto模块,但是这2个使用pip install 来安装又报错。 最后经过一番周折终于可以安装了...
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证,取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
linux取证之内存取证
NFMSR的博客
07-19 2829
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
使用volatility
05-15
Volatility是一个流行的内存取证框架,用于分析内存映像以检测恶意活动、提取敏感信息等。以下是使用Volatility的一些基本步骤: 1. 下载并安装Volatility框架 2. 获取要分析的内存映像文件 3. 执行`volatility imageinfo -f <memory_dump>`命令,检测内存映像文件的格式和操作系统类型 4. 执行`volatility profile -f <memory_dump> > profile.txt`命令,生成内存映像文件的配置文件 5. 执行`volatility pslist -f <memory_dump> --profile=<profile>`命令,列出进程列表 6. 执行`volatility memdump -f <memory_dump> -p <pid> --profile=<profile> -D <dump_directory>`命令,将指定进程的内存dump到指定目录 7. 执行`volatility strings -f <memory_dump> --profile=<profile>`命令,提取内存中的字符串信息 8. 根据需要执行其他Volatility插件,如`volatility malfind -f <memory_dump> --profile=<profile>`来查找恶意代码 需要注意的是,Volatility是一个非常强大和复杂的工具,需要一定的技术水平和经验才能正确地使用。在使用过程中,还需要注意保护证据完整性和保密性。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值