【技术分享】实战volatility内存取证

前言：

Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家所合作开发的一套工具, 可以用于windows、linux、mac
osx和android等系统内存取证，在应急响应、系统分析、取证领域有着举足轻重的地位。本期技术分享，小星将带大家从三个实战环境中来了解volatility的使用与技巧。

0 **1 ** task.zip

python vol.py -f WIN-BU6IJ7FI9RU-20190927-152050.raw
–profile=Win7SP1x86_23418 hashdump

#somd5⽹站爆破

0 **2 ** task.7z

1. 使用volatility的imageinfo以查看memory的镜像信息。

2. 扫描桌面⽂件，发现了带有Bitlocker字样的txt文件。

3.
使用dumpfiles导出⽂件以查看内容。

4.
结果显示，文件是BitLocker解密的密钥。使用diskgenius打开虚拟磁盘文件secret，解锁Bitlocker到加密分区；输⼊恢复密钥，解锁分区成功，看到README.txt后右键复制至桌⾯。

5.
README.txt的内容即为flag。

Wow, you have a great ability. How did you solve this? Are you a hacker?
Please give me a lesson later.

0 **3 ** ez_forensics

1. 下载附件得到⼀个pc.vmdk磁盘文件和⼀个pc.raw内存文件，利用FTK挂载vmdk⽂件。

2. 挂载后发现了bitlocker加密的提示。

3. 查看raw内存⽂件，并进行pstree操作，发现存在cmd.exe。

4.
运行一次常规的filescan：首先filescan桌面，但桌面上没有存在可疑信息，由此得知这题的重点不在桌⾯上。

5.
根据进程里的cmd.exe，查看cmdscan命令行输⼊的内容。

6.
出现以下结果。

7.
根据提示，此处似乎存在⼀个特别的截屏，尝试查看内存中的截屏。

8.
此处发现，桌面上曾经打开过⼀份⽂件，从文件名可知这是⼀个关键的文件：thes3cret。

9.
尝试filescan 此⽂件。

10.
进行dumpfiles操作。

11.
提取后发现，这是⼀个文本⽂件，文件内容如下显示。

综上显示，我们可以得知这是⼀个AES加密。小星曾经尝试直接解密，但是解密失败。由此推断，此处的AES解密也是需要⼀个密码。

1.
返回至此前已完成bitlocker加密的磁盘⽂件，存在磁盘和内存，可以利用EFDD进行磁盘解密。2.
volume 选择挂载过的物理磁盘即可，memory dump选择内存⽂件，并⼀直往后解密，即可成功。

3.
解密成功后发现，存在cipher.zip和flag.txt，但是flag.txt的数据是无用的。

4.
cipher.zip内存在⼀张cipher.png图片。

5.
png图片尝试进行stegsolve分析，发现存在LSB隐写，并隐藏了⼀个压缩包。

6.
提取后发现，压缩包需要密码解压。

7.
注释内存有提示。

8.
提示密码是电脑用户的登录密码。此时返回至内存⽂件中，尝试使用mimikatz提取登录密码即可。

由此得到：

9.
尝试解密压缩包。解密成功，压缩包内存在⼀个key.txt文件，内容如下显示：

10.
根据数据格式，每个数字均为0-7。由此得知这是⼀个八进制的加密，进行八进制解密操作即可。

由此得到：

11. 此时AES的密文和key都已被获取，最后进行aes解密操作，即可得到flag。

，最后进行aes解密操作，即可得到flag。

如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（嘿客入门教程）

👉网安（嘿客）全套学习视频👈

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

👉网安（嘿客红蓝对抗）所有方向的学习路线****👈

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（嘿客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

如果你有需要可以点击👉CSDN大礼包：《嘿客&网络安全入门&进阶学习资源包》免费分享