volatility内存取证学习,美亚杯比赛版,密码+注册表

最新推荐文章于 2024-06-25 15:51:53 发布
最新推荐文章于 2024-06-25 15:51:53 发布
阅读量1.4k 收藏 10
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ntrybw/article/details/126793837
版权

内存镜像主要是 windows,linux可能考

工具主要是volatility 有很多工具软件

拿到内存后,格式很多,mem,emp后缀名不一样,不影响解析,第一步: 

要知道内存镜像的架构,知道内存是在什么操作系统下面获取的,最关键一步。

                                

 打开美亚工具集,内存镜像解析工具做第一步解析,跑一下就出来了。

但是这个是有前提的,只可以看win7以下的,win10要去小程序里面。

做题建议双开,美亚杯会让自己的小程序解析不来,所以要多准备

 注意下面的时区信息,指的是内存镜像制作时间,注意时区不要搞错。

C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 hashdump
Volatility Foundation Volatility Framework 2.6.1
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HTC_Admin:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
YuanHe:1001:aad3b435b51404eeaad3b435b51404ee:99e74d973f8f852432f6d5a59659ed88:::

500开头一般是系统管理员,1000开头是用户组

密码主要是看后半段,蓝色部分,cmd5可以破解,输进去试一下,如果是闭网环境,那就需要相应软件,比如说hashcat一般31开头就是空密码,其他就去接一下就好。

解释hivelist,查看注册表信息,virtual是虚拟地址,physical是物理地址

这里淘宝重要的几个注册表文件:

1:system

2:software

3:ntuser.dat (对应用户的注册表值,某种程度上,也可以佐证用户,就是有哪几个用户

 4:SAM也最好导出

放到WRR里面可以去查看。

要把内存里面的注册表信息导出,可以用可视化,dum那个,新建一个文件夹

18年某题倒查版本号procdump,比如19题目用ftk抓包

 

 

就可以看到相应版本号。

 

modest —YBW
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
内网渗透-Hash传递攻击
lza20001103的博客
04-15 1076
内网渗透-Hash传递攻击
2020美亚全国电子数据取证大赛有感
m0_46625346的博客
11-15 3154
总结感悟 2020第六届美亚终于结束了,心里感觉舒畅了不少,虽然结果有些差,但我感觉,这个备赛过程中,我和队友收获了很多,之间配合的也越来越默契,希望下届美亚我们可以去的更好的名次。加油,冲啊! 下面配上我们的成绩图,大佬就不要吐槽了,我们也就参加过两次取证比赛。。。 一次西安电子科技大举办的长安,第二次就是美亚了。 我们尽力了。明年继续! 比赛完,正好和朋友出去过生日 出去浪啦哈哈 需要2020美亚资格赛WP的可以找我资源区,免费下载哈!!! 记得点关注点赞呀!!!! ...
攻击取证--至此全篇完
最新发布
darui_csdn的博客
06-25 18
我们刚刚看到了如何使用 Volatility 插件来分析存在漏洞的 VM 快照,通过检查正在使用的命令和进程来分析用户,并转储密码散列。但是由于您可以编写自己的自定义插件,所以只有您的想象力才能限制您可以用 Volatility 做什么。如果您需要根据从标准插件找到的线索中获得额外的信息,那么您可以制作自己的插件。只要您遵循 Volatility 团队的模式,就可以很容易地创建插件。您甚至可以让您的新插件调用其他插件,从而使您的工作更加容易。passpasspass这里的主要步骤是创建从。
VolatilityWorkbench初步使用
wuwuliuliu0524的博客
04-16 600
VolatilityWorkbenchVolatility可视化工具。第一行Image file:Browse Image选择镜像。缺点:在单独寻找某个进程、文件等时,无法搜索,非常难受。pslist命令还可以单独选择某一个exe分析其进程。第二行Platform:解析操作系统类型后能选择。加载完成之后选择第三行的命令,然后run。优点:速度很快,不用输入命令,一目了然。
VolatilityWorkbench-v2.1_2.zip
04-05
内存取证神器Volatility的windows下可视化窗口
2019年美亚电子数据取证大赛-内存取证
weixin_44770698的博客
10-13 2696
2019年美亚电子数据取证大赛-内存取证
2023第九届美亚全国电子数据取证竞赛个人赛实操部分参考wp
cuiwenhao_的博客
11-20 1336
2023第九届美亚全国电子数据取证竞赛个人赛实操部分参考wp
volatility取证
mandarava的博客
07-02 3129
之前的一道misc题目里遇到一个需要用这个软件去获取注册表的方法 这个软件kali服务器自带 软件简介 用于查看我正在分析的内存样本的摘要信息。具体来说显示主机所使用的操作系统本、服务包以及硬件结构(32位或64位)、也目录表的起始地址和该内存景象的时间等基本信息。 我遇到的题目是获取注册表的hash值 具体操作方法 用于获取文件的系统等信息:volatility -f memory ima...
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 6425
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
workbench教程
05-31
最新经典的ANSYSworkbench教程,主要包括建模文档,建立模型
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
VolatilityWorkbench.zip
05-16
VolatilityWorkbench.zip windows 下 内存取证,图形界面工具。亲测好用
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原volatility内存取证CheatSheet,赶紧学习一波!
基于Volatility内存信息调查方法研究
02-13
Volatility取证工具的使用详细说明,非常全面,有了它就可以一步步的实现对内存取证啦。
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1本的功能、工作原理以及如何使用它...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2172
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
Volatility 内存映像提取
06-06
要使用Volatility提取内存映像,可以按照以下步骤进行操作: 1. 下载和安装Volatility:可以从Volatility官网下载最新本的Volatility,并按照官方文档进行安装。 2. 获取内存映像:要获取内存映像,可以使用dd命令将内存转储到文件中,例如: ``` dd if=/dev/mem of=memdump bs=1M count=1024 ``` 这个命令将内存中的前1024MB数据转储到memdump文件中。这个过程可能需要root权限。 3. 识别操作系统和内核本:使用Volatility命令行工具,运行以下命令来识别内存映像中的操作系统和内核本: ``` volatility -f memdump imageinfo ``` 这个命令会输出内存映像中的操作系统和内核本信息。 4. 进行内存分析:使用Volatility命令行工具,可以运行各种插件来进行内存分析,例如: ``` volatility -f memdump pslist ``` 这个命令将输出内存映像中运行的进程列表。 以上是使用Volatility提取内存映像的基本步骤。Volatility还支持许多其他的插件和功能,可以根据需要进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

modest —YBW

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值