Volatility取证工具使用学习日记

最新推荐文章于 2024-07-15 12:00:51 发布
最新推荐文章于 2024-07-15 12:00:51 发布
阅读量1.7k 收藏 11
点赞数 2
文章标签: 服务器 网络 安全 学习 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55763479/article/details/126618742
版权

 Volatility取证工具还在学习,记录一下

目录

陇剑杯取证

世界技能大赛湖北省取证比赛

安洵杯取证赛题

长安杯 取证

本文章所需文件:

链接:https://pan.baidu.com/s/1TSCTf-7_HpunqvmZKXGD_A?fm=lk0 提取码:aqds

鹦鹉系统自带volatility,kali也可自行安装volatility工具

输入volatility -h

可支持的插件


常用命令

Pslist----------------列出进程信息

Cmd.exe  -----------命令进程

cnCryopt.exe  --------加密进程

Hivelist--------------列出注册表进程

查看主机名

\REGISTRY\MACHINE\SYSTEM    的虚地址

-o    选择虚地址

Printkey   打印键值

选择set001

选择control

选择computername

再选computername

主机名

所以主机名键值是

printkey -K "ControlSet001\Control\ComputerName\ComputerName"

选择一个文件下载下来

Hivedump  -o 虚地址(virtual)

Userassist-------------正在运行的程序

Filescan--------显示已经打开的文件包括隐藏文件

Netscan-------------监听主动连接(谁连接了你的地址)

查ip(你的ip)

Procdump-----------------------将软件进程下载

-p(pid)------指定进程号

-D ./ -----------指定下载地址,路径为当前目录

Memdump(常用)---------------------将某个进程内存转存下载下来

-n  (name名字)

Dumpfiles-------------------------将某个文件下载下来

-Q  ---------文件内存地址

Dlllist-----------------------------显示进程加载的文件

-p  (pid)

Clipboard---------------------------显示剪贴板内容

Iehistory--------------------------------浏览器历史

strings *.dmp | grep "download.exe.torrent" -C 10

Strings--------寻找字符串工具

-C 10-------------上下10行显示

陇剑杯取证

 选中镜像分析

将哈希值dump下来

此时可以用mimikatz插件将明文密码下载下来(我没安装)

所以使用PTF(专门找密码的软件)

因为vmem属于内存文件,选择memory analysis

直接选windows更快

密码出来了

世界技能大赛湖北省取证比赛

  1. 获取admin密码

直接跑

对镜像文件分析

Hashdump下载,可用lasdump和mimikatz插件直接获取,我自己用ptf来

  1. 获取IP和地址

Ip就是192.168.85.129

主机名

先扫注册表

Machine\system的虚地址

直接下载

找到主机键值

主机名

  1. 获取桌面上的flag.txt
  2. 原理我也不懂

查看

  1. 找出挖矿病毒

Established代表连接

这就是挖矿地址

  1. 病毒服务找出来

父进程3036

使用svcscan扫描

找到3036

Servername为服务名

  1. 获得恶意进程pid

2588和3036就是恶意进程pid

安洵杯取证赛题

题目下载地址:链接:https://pan.baidu.com/s/1IQqpaBk7OXsj8BW0h3OShw 提取码:mz1l

-f      指定路径文件

Imageinfo        将镜像文件信息输出

Hashdump  --------将哈希值下载下来

Cmd5解密

发现两个cmd.exe和cncrypt.exe(cncrypt加密工具)

扫描一下cmd

Cmdscan   --------将历史命令显示

发现flag.ccx文件,并且提升密码就是administrator的密码

Filescan   -------扫描文件

将文件下载下来,

-Q 指定文件地址

--dump-dir=   指定下载地址   ./代表当前目录

到这应该可以知道,flag.cxx就是用cncrypt加密的,密码就是超级用户密码

所以使用cncryp工具解密

选择自动加载设备,输入超级用户密码

得flag

长安杯 取证

注意到记事本notepad程序,查看一下,发现加密encrypt,而这个20211209可能是密码

查找一下flag类文件,发现zip和png,都下载下来

Zip解压发现需要密码,把记事本密码试一下,果然可以

发现加密源码,再查看png,发现一串密文

意思很明显,通过审计源码写脚步解密

本人太菜,python还不会,写了个php。。。。。。。。

暂时到这

 

北纬二十七度雨
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 内存取证_内存取证工具-volatility、foremost
weixin_39747630的博客
01-27 602
内存取证1. 内存取证工具volatility猜测dump文件的profile值root@kali:~/CTF# volatility -f mem.vmem imageinfoVolatility Foundation Volatility Framework 2.6INFO : volatility.debug : Determining profile based on KDBG...
内存取证-volatility工具使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Kali Linux 数字取证(二)
最新发布
龙哥盟
07-15 568
原文:annas-archive.org/md5/8FE31A420313B3F8EBAD75F795E950BF。
Volatility工具使用详解&&做题
weixin_48876267的博客
09-20 1590
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
内存取证工具 -- Volatility工具使用
weixin_54517170的博客
08-03 2821
内存取证工具 -- Volatility工具使用
取证之内存取证工具Volatility学习
shy的博客
03-30 754
Volatility是一款开源的内存取证分析工具,支持WindowsLinuxMaCAndroid等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2python3环境。
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
Linux volatility 扫描工具使用
03-11
Linux Volatility是一款强大的开源工具,专门用于分析内存转储,为取证分析和系统故障排查提供了宝贵的洞察力。这款工具Linux环境中广泛使用,因为它能够帮助安全专家和系统管理员在不重启系统的情况下,从活动或...
volatility取证
sechelper的博客
12-07 1571
vil取证,常用命令合集,11道实践案例,CTF相关
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
内存取证-volatility工具使用
baynk的博客
05-11 2万+
0x00 volatility介绍 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。 目前已经有一段时
内存取证volatility工具命令详解
Y525698136的博客
01-04 2579
内存取证volatility工具命令详解
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 7772
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
取证工具Volatility-2.1使用方法
Soda_199的博客
03-21 1万+
1、首先下载python,然后解压安装完成后,设置环境变量。2、根据自己电脑的系统下载volatility,网址:http://www.volatilityfoundation.org/releases,然后解压即可。3、用DumpIt工具(是内存副本获取工具)生成主机的物理内存镜像。解压DumpIt后,双击DumpIt.exe可执行程序,并在提示问题后面输入y,等待几分钟时间即可在当前目录下生成...
Volatility工具使用
admin的博客
10-14 1251
https://zhuanlan.zhihu.com/p/29952999 教程 Dumplt生成内存镜像.raw volatility_2.6_win64_standalone.exe -f 镜像 imageinfo 获取imageinfo信息 volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw imageinfo 进程pslist volatility_2.6_win64_standalone.exe -f QQQ
volatility 基本用法
xuqi7
10-22 1万+
volatility---基本用法 Keyword: forensic 取证 官网: https://www.volatilityfoundation.org/ github地址: https://github.com/volatilityfoundation/volatility wiki: https://github.com/volatilityfoundation/volatility/wiki
内存取证-volattlity
5L2g556F5ZWl77yf
09-30 5580
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/archive/p/volatility/ 安装: kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v
volatility内存取证命令全解析
volatility内存取证命令合集不仅包含了volatility工具使用方法,还提供了丰富的资源来引导用户学习和掌握这一关键技术,对于从事信息安全取证分析的人员来说,是不可或缺的参考资料。通过熟练掌握这些命令,能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值