真题:2019年,2018年,2017年美亚杯
windows,linux
工具:volatility
步骤:
首先使用取证大师,目前支持到win10
如果无法解析,则使用volatility,前提是直到操作的版本。
获得操作方法:
方法一:一个一个试,耗时间。
方法二:使用kali 去获得版本,kali自带volatility插件
内存镜像后缀名:mem,vmem,dmp之类的。
步骤一:内存镜像架构
通过取证大师工具集里面的内存镜像解析工具。版本过高的话,可以用小程序里面的内存镜像解析工具专业版,导入脚本。
步骤二:volatility使用
1.判断未知内存镜像系统版本信息
volatility -f 文件路径(可以把文件拖进cmd里面) imageinfo
出来信息的时间非常重要(美亚杯喜欢考时间!!)
建议的操作系统文件也很重要,从第一个开始尝试,如果括号里面有sugest 什么,选括号里面的)
2.进程解析(pslist,pstree,psscan:列出转储时运行的进程的纤细信息,显示过程ID,父进程(PPID),线程数目,把手数目,日期时间。)
volatility -f 文件路径 --profile=系统架构(上一个命令解析出来的)pslist
pslist 无法显示隐藏/终止进程,解决这个问题可以使用psscan
volatility -f 文件路径 --profile=系统架构(上一个命令解析出来的)pstree
同样也是扫描进程的,但是是以进程树的形式出现的。
volatility -f 文件路径 --profile=系统架构(上一个命令解析出来的)psscan
如果文件过多,可以要导出进程
volatility -f 文件路径 --profile=系统架构(上一个命令解析出来的)pslist > 文本名(.txt)
PID,PPID,父进程,子进程,常考!!!!
3.用户名密码信息(提取出注册表的信息)
volatility -f 文件路径 --profile=系统结构 hashdump
mimikatz可以密码破解
hashcat可以hash值破解
美亚杯注册表,常考!!!
4.扫描并解析潜在的MPT条目
volatility -f 文件路径 --profile=框架 mftparser
5.可以查看访问记录
volatility -f 文件路径 --profile=系统结构 timeliner
6.查看注册表的配置单
volatility -f 文件路径 --profile=框架 hivelist
注册表里面的重要文件有,SOFTWARE,SYSTEM,dat等
7.导出注册表
dumpregister
WRR–注册表取证软件。
volatility Workbench
还是得知道文件的架构 ! ! !
usbsor里面是u盘的记录。
可以查看狼队写的一些有关volatility的命令。
https://wiki.wgpsec.org/knowledge/ctf/Volatility.html
959
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
