Volatility内存分析工具 - 某即时通讯软件Windows端数据库密钥的分析

最新推荐文章于 2024-04-09 16:36:16 发布
最新推荐文章于 2024-04-09 16:36:16 发布
阅读量1.6k 收藏 14
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37779785/article/details/113519843
版权

#本文仅供交流学习使用,切勿用于非法用途#

目录

1. 前言

2. 准备工作

3. 内存镜像解析

4. 踩过的坑和感悟

5. 技术要点总结

前言

某年月日,我司在项目中遇到了一个不太常见的需求:根据内存镜像解析电脑中的某即时通讯软件(即“某信”)的聊天信息。在与供应商进行沟通以后我们了解到,市面上国内外几款比较流行的取证软件虽然支持针对某信Windows端的解析,但是大多还是需要用户扫描二维码进行登录。对内存的解析只有一家产品支持,实际试用后也遗憾地失败了。事后分析可能是与操作系统及某信软件的版本有关。

然后我们又在网上进行了一系列的搜索。虽然确实查到许多资料描述如何解析某信数据库,但是其中对内存镜像进行解析的内容几乎为零。我们只能摸着前人的石头过河。所幸走了不少弯路以后还算有了一个比较满意的结果,这才有了这篇小文。

*对于Volatility内存分析工具有一定认识的朋友可以直接查看结尾的技术总结。

准备工作

某信登录后,使用FTK Imager制作笔记本电脑的内存镜像。

1. 登录某信

在这里插入图片描述

2.使用FTK Imager制作内存镜像

在这里插入图片描述
在这里插入图片描述

在这里有几个选项,是否需要保存pagefile(“Include pagefile”)以及是否需要制作AD1格式的镜像(“Create AD1 file”)。经过测试在解析密钥时并不需要这两个功能,所以为了节约时间我们这里就不用勾选了,毕竟pagefile的文件大小还是很惊人的。
在这里插入图片描述

最低0.47元/天 解锁文章
ud64isyl
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
小程序---微信本地存储的方法
lelara的博客
06-02 1万+
我们在开发的过程,常常会用到本地存储,下面我给大家分享一下微信本地存储的使用。 一、数据支持 需要存储的内容。只支持原生类型、Date、及能够通过JSON.stringify序列化的对象。 二、方法 1、同步 (1)wx.setStorageSync(); //存储值 try { wx.setStorageSync('key', 'value') } catch ...
volatility命令使用 misc部分取证解题(部分内存取证)
(●'◡'●)
07-13 3578
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取内存的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
PC微信逆向--离线解密数据库
ljc545w的博客
05-10 4938
文章目录写在前面回顾定位切入点断点调试结论离线解密工具配置环境代码运行写在后面 写在前面 前面的几篇文章,已经找到sqlite3_exec函数并调用,也实现了数据库在线备份,本篇文章,尝试定位保存数据库密码的基址,并编写一个离线解密工具。 回顾 在开始之前,要先回顾一下之前得到的结果: 数据库初始化 785BE313 8D55 CC lea edx, dword ptr [ebp-34] 785BE316 52 push edx 785BE
内存取证分析基础,命令整理,包含vol2和vol3
ntrybw的博客
09-11 3390
C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址)-s(SAM的virtual值)此命令能获取密码的hash值,但是我个感觉没什么用,不如直接hashdump。netscan链接协议,本地地址,链接状态,,监听口。
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
最新发布
2401_84164546的博客
04-09 1035
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
[node.js]PC微信小程序包解密
嘤嘤嘤嘤嘤猫
12-12 7808
原来发布在掘金,搬过来好了。 微信小程序在PC是加密存储的,如果直接打开是看不到什么有用的信息的,需要经过解密才可以看到包内具体的内容。本文使用nodejs实现解密算法,主要涉及到crypto, commander, chalk三个包的使用。 小程序的源码在哪里 PC打开过的小程序会被缓存到本地微信文件的默认保存位置,可以通过微信PC=>更多=>设置查看: 进入默认保存位置下的/WeChat Files/WeChat Files/Applet文件夹,可以看到该目录下有一系列.
Frida-hook:微信数据库的破解
记录和分享程序人生的点点滴滴
08-31 1780
我们可以从root过的手机,找到微信相关数据库,例如EnMicroMsg.db,是最关键的一个。但是,无法用sqlit攻击直接打开,因为这个数据库是加密过的。为了正常显示,就需要解密。用Frida 对Android SQLiteDatabase相关Api进行hook,就可以得到key,进而用sqlite软件可以打开了。本篇主要介绍如何hook,得到key,然后打开EnMicroMsg.db数据库
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境进行内存取证。 Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络的计算机及其相关设备的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
内存取证 volatility
07-12
内存取证 volatility
Memdump:转储内存进程(procpidmem)
04-09
梅登普 用pid转储某些进程的内存区域。 用法 使用-h或--help参数。 usage: memdump.py [-h] -p PID [-o OUT] [-f] Used for dump memory process. optional arguments: -h, --help show this help message and exit -p PID, --pid PID select process id of the target -o OUT, --out OUT select output file for dumped raw data (default: none) -f, --force if maps/mem file is readable 如果用户具有对mem和maps文件的读取权限,请使用sudo或fo
内存分析工具内存分析工具内存分析工具
10-29
内存分析工具内存分析工具内存内存分析工具工具
Xposed提取微信数据库密码(微信6.6.6测试通过)
05-31
源代码: 采用Xposed技术直接从微信运行过程提取微信访问自己数据库的加密密码。使用这个密码可以用访问微信的SQLite数据库
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 6023
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
2021美亚团队赛复盘
wuwuliuliu0524的博客
08-16 6000
veracrypt密码:uR%{)Y'Qz-n3oGU`ZJo@(1ntxp8U1+bW;案件背景:几天后,“大路建设”旗下有一家名为“元材原料”的材料供应子公司,该公司发现几名员工的个人财务资料在网上遭公开发布。为了员工安全,主管决定报警求助。经警方调查发现黑客入侵的手法与“大路建设”的案件十分相似,因此引起调查人员怀疑两起案件有所关联。经调查后,警方拘捕了“常威”和“特普”两名本地男子,怀疑他们与本案有关。........................
windows客户性能测试之内存泄露检查工具umdh.exe
Loadrunn的专栏
05-04 3782
Umdh 是 Debugging Tools for Windows 工具,在windbg的安装目录内,UMDH主要通过分析比较进程的Heap Stack trace信息来发现内存泄露的。 Umdh测试程序内存泄露的方法: 1.设置环境变量_NT_SYMBOL_PATH,系统属性-高级-环境变量或者命令行et _NT_SYMBOL_PATH=C:/symbols。把被测程序的Sym
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3319
内存取证神器Volatility常用指令大全
Volatility 内存映像提取
06-06
要使用Volatility提取内存映像,可以按照以下步骤进行操作: 1. 下载和安装Volatility:可以从Volatility官网下载最新版本的Volatility,并按照官方文档进行安装。 2. 获取内存映像:要获取内存映像,可以使用dd命令将内存转储到文件,例如: ``` dd if=/dev/mem of=memdump bs=1M count=1024 ``` 这个命令将内存的前1024MB数据转储到memdump文件。这个过程可能需要root权限。 3. 识别操作系统和内核版本:使用Volatility命令行工具,运行以下命令来识别内存映像的操作系统和内核版本: ``` volatility -f memdump imageinfo ``` 这个命令会输出内存映像的操作系统和内核版本信息。 4. 进行内存分析:使用Volatility命令行工具,可以运行各种插件来进行内存分析,例如: ``` volatility -f memdump pslist ``` 这个命令将输出内存映像运行的进程列表。 以上是使用Volatility提取内存映像的基本步骤。Volatility还支持许多其他的插件和功能,可以根据需要进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值