Kali Linux渗透测试 151 取证工具-Volatility

最新推荐文章于 2024-07-15 16:03:16 发布
最新推荐文章于 2024-07-15 16:03:16 发布
阅读量3.9k 收藏 13
点赞数 1
分类专栏: kali-linux 文章标签: kali-linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevinhanser/article/details/80013033
版权

本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程

Kali Linux渗透测试(苑房弘)博客记录

1. 制作内存镜像

取证工具 Comae-Toolkit-Light

http://www.downloadcrew.com/article/23854-dumpit

使用其中的 DumpIt 制作内存镜像文件,内存文件与内存大小接近或者稍微大一点

在这里插入图片描述

在这里插入图片描述

2. 分析内存文件

  • 插件位置

      /usr/lib/python2.7/dist-packages/volatility/plugins

  • 查询文件信息,关注 profile

      volatility imageinfo -f win.dmp imageinfo

    在这里插入图片描述

  • v查询数据库文件

      volatility hivelist -f win.dmp --profile=Win7SP1x86

    在这里插入图片描述

      volatility hivelist -f win.dmp --profile=Win7SP1x86 pslist
  volatility hivelist -f win.dmp --profile=Win7SP1x86 pstree

  • 按虚内存地址查看注册表内容

      volatility -f win.dmp --profile=Win7SP1x86 hivelist

    在这里插入图片描述

      volatility -f win.dmp --profile=Win7SP1x86 hivedump -o 0x91fa1648

  • 查看用户账号

      volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

    在这里插入图片描述

  • 最后登录的用户

      volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

    在这里插入图片描述

  • 正在运行的程序、运行过多少次、最后一次运行时间等

      volatility -f win.dmp --profile=Win7SP1x86 userassist

    在这里插入图片描述

  • 进程列表及物理内存

      volatility -f win.dmp --profile=Win7SP1x86 pslist

    在这里插入图片描述

    • dump 进程内存

        volatility -f win.dmp --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/

      在这里插入图片描述

        root@kali:~/dumpdir# hexeditor 3684.dmp

    • 提取字符串

        root@kali:~/dumpdir# strings 3684.dmp > 1111.txt
  root@kali:~/dumpdir# strings 3684.dmp | grep password
  root@kali:~/dumpdir# strings 3684.dmp | grep /
  root@kali:~/dumpdir# strings 3684.dmp | grep @

  • 命令历史

      volatility cmdscan -f win.dmp --profile=Win7SP1x86

    在这里插入图片描述

  • 网络连接

      volatility netscan -f win.dmp --profile=Win7SP1x86

    在这里插入图片描述

  • IE 历史

      volatility iehistory -f win.dmp --profile=Win7SP1x86

  • 提取hash

      volatility -f win.dmp --profile=Win7SP1x86 hivelist

    在这里插入图片描述

      #volatility -f win.dmp --profile=Win7SP1x86 hashdump -y system虚地址 -s SAM虚地址
  volatility -f win.dmp --profile=Win7SP1x86 hashdump -y 0x8a81c008 -s 0x95f26558

    在这里插入图片描述

3. firefoxhistory 插件

  • Firefoxhistory 插件

DaveLasalle_ForensicSuite.zip

	mv /root/volatility-plugins-master/*.py /usr/lib/python2.7/dist-packages/volatility/plugins/

	# 使用 firefoxhistory
	volatility -f win.dmp --profile=Win7SP1x86 firefoxhistory

4. USN 日志记录插件

  • NTFS 特性,用于跟踪硬盘内容变化(不记录具体变更内容)

      wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py
  mv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/
  volatility -f win.dmp --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv

5. Timeline 插件

  • 从多个位置收集大量系统活动信息

      volatility -f win.dmp --profile=Win7SP1x86 timeliner

6. 内存取证案例分析

网络安全打工人
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kali 安装volatility_电子取证技术之实战Volatility工具
weixin_30539747的博客
01-11 2961
作者:beswing预估稿费:300RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言这几天和麦香表哥一直在玩取证的事情,我也好好学习了Volatility 这个神器,一个开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。Volatility 的安装这次讲的是在linux下的取证,所以我安装的...
kali 安装volatility_Volatility取证使用笔记
weixin_39926739的博客
11-23 4205
最近简单的了解了一下Volatility这个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等等等等~~~0x01 安装安装分为三步走:下载安装必要的python依赖文件安装本体下载你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以...
kali2024上Volatility的安装(无报错)
最新发布
2301_80110280的博客
07-15 976
接下来就是解决distorm3的问题,如果使用pip2 install distorm3会发现有egg_info报错的问题,查阅之后发现说是没有安装setuptools,查到最后会发现setuptools是python3里面的,然后如果用pip2安装的话,又因为2022版本之后kali官方不支持python2了,使用命令安装这个时就会报错,所以这个途径就不了了之。这样一来输入vol.py就不会再出现报错了,以及之后要是还要下载什么插件之类的,都可以去使用:将其源码包下载之后,放到。
kali下安装Volatility
热门推荐
烟雨天青色
02-27 1万+
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
Kaili下安装volatility
shao65308的专栏
09-12 317
下载:git clone https://kgithub.com/volatilityfoundation/volatility.git。
kali 安装volatility_volatility取证学习-linux
weixin_39754267的博客
12-18 2586
第一次 按照大神的博客,完成这个实验,希望后来者,少入点坑工具介绍:volatilityvolatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具Volatility‐f [image]­-‐profile=[profile][plugin]--info查看扫描检查、插件、地址空...
kali 安装volatility_Linux下内存取证工具Volatility的使用
weixin_39942037的博客
12-18 790
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
Kali Linux中的网络取证技术
# 1....作为一款功能强大的操作系统,Kali Linux集成了大量用于渗透测试和网络取证工具和软件。这些工具和软件可以帮助用户在网络取证过程中发现、收集、分析和保存证据,提供有力的支持和指导。Ka
Kali Linux网络取证:数字取证与溯源技术
Kali Linux是一款基于Debian的Linux发行版,主要用于数字取证渗透测试。它内置了大量安全工具,方便进行各种安全测试和取证工作。 ## 1.2 网络取证概述 网络取证是指通过对计算机网络系统的调查和分析,获取证据...
【2023年全国职业技能大赛“信息安全与评估”赛项】任务4-Linux内存取证WP+靶场环境
04-20
Kali Linux则是一个专门用于渗透测试和安全审计的操作系统,内置了大量的安全工具,包括内存取证工具Volatility是一款强大的开源内存取证框架,它能够在不触及硬盘的情况下分析运行中的系统或内存转储。...
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
kali linux 系统软件工具学习
06-18
Kali Linux是一个专门为网络安全和渗透测试设计的操作系统,它包含了大量的开源软件工具,用于网络扫描、漏洞利用、密码破解、取证分析等多个领域。学习Kali Linux系统软件工具,你可以从以下几个方面入手: 1. **...
Kali Linux 安全渗透测试工具大全
悦分享
11-07 1349
Kali Linux官网: Kali Linux | Penetration Testing and Ethical Hacking Linux Distribution官网工具集:All Kali Tools | Kali Linux ToolsKali Linux Penetration Testing Tools Listing 渗透测试工具列表共15个大类:WEB 技术繁荣发展的同时,也带来了前所未有的安全挑战。有数据统计,所有黑客入侵事件中,85% 以上都是针对 WEB 应用漏洞发起的攻击。不知攻
kali安装volatility及插件mimikatz
qq_73722777的博客
09-14 3810
vol.py --plugins=[plugins文件夹路径] -f [镜像文件路径] --profile=[操作系统] mimikatz。下载解压后拖入kali内,文件夹改名为volatility,终端cd进入文件夹。下载后拖入volatility/volatility/plugins/解压后拖入kali,使用cd进入文件夹内。下载mimikatz.py文件。2.安装volatility。下载文件distorm3。3.安装mimikatz。4.在终端中使用插件。kali安装pip2。
kali 安装volatility_linux网络命令 【Volatility取证实战
weixin_39762478的博客
12-18 1206
这几天和麦香表哥一直在玩取证的事情,我也好好学习了Volatility这个神器,一个开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。Volatility的安装这次讲的是在linux下的取证,所以我安装的也是linux平台下的Volatility。在https://code.google.com/archive/p/vo...
MISC之内存取证_Kali环境下使用volatility
dbsod007520的博客
08-18 5519
前言 1、本文所需工具及题目下载路径: 2、所作操作均使用root用户执行 一、安装volatility及相关依赖文件 volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。 1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master 2、将pac.zip文件中的内
Kali LinuxVolatility2.6常见问题疑难杂症-内存取证信息安全管理与评估
Geek极安云科-致力于网络安全事业
11-24 4274
Kali LinuxVolatility2.6常见问题疑难杂症-信息安全管理与评估 Volatility为开源项目,旧版本kali不集成此工具,此处用2.6为例,2.6版本是基于python2的环境。 GiitHub地址: 使用python2运行vol.py -f上镜像,发现一堆报错,但是有些功能还是可以正常使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值