内存取证——volatility

最新推荐文章于 2024-08-22 10:10:53 发布
最新推荐文章于 2024-08-22 10:10:53 发布
阅读量1.9w 收藏 51
点赞数 8
文章标签: CTF 内存取证 网安
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingchenldl/article/details/78447003
版权

内存取证——volatility

0x00

最近没有做题,之前放掉的一个杂项题,现在重新看看。

0x01

通过hint,了解到内存取证这个神奇的东西,那么不急着做题,先把这个研究研究。

0x02

内存取证,是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。(个人理解,欢迎纠正)
这里主要使用工具——volatility.

0x03

工具介绍:volatility
volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具。

0x04

工具安装我就不多说了,建议安装kali,里面集成许多工具,包括这个。
其他环境安装方法——传送门

0x06

作为萌新,我的第一步——阅读帮助
volatility -h

在通过阅读博客,大概知道操作流程了。
下面开始解题:
notepad的秘密——解题过程:

● 下载后是一个.raw文件,raw意为“原材料,未加工的”。。
● 进入.raw文件所在目录,输入命令判断该文件内存进程
volatility -f 1.r

最低0.47元/天 解锁文章
「已注销」
关注
内存取证——基础知识(volatility内存取证
记录并分享学习安全的知识点..
01-11 915
内存取证——基础知识(volatility内存取证
内存取证——ABC包
panda.
11-29 459
​ 1、获取数据包的镜像信息 2、获取主机名字 3、列出文件中曾使用的进程信息 题目要求我们去查看管理员的信息 使用命令查找列出有关管理员的信息继续操作(这里发现管理员注册表) 这个文件里存放着管理员的一些基本信息 已发现此的虚拟地址 打开查看 4、获取管理员用户密码 这里可以看到是这条注册表记录 接下来指定查看信息 可以看到这里面有三个用户 但admin和guest是默认的有权限的用户 所以这里只能是okra是给予的超级用户权限 接下来获取这个用户的hash值 我们要求的是okra这个用户
MISC之内存取证_Kali环境下使用volatility
dbsod007520的博客
08-18 5534
前言 1、本文所需工具及题目下载路径: 2、所作操作均使用root用户执行 一、安装volatility及相关依赖文件 volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。 1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master 2、将pac.zip文件中的内
渗透测试内存取证
baimao__Ch的博客
08-22 655
所用系统:kali-linux-2019-2-amd64,此系统中预置Volatility(位于“应用程序”-“11 Forensics”)(“Forensics”译为“取证”)点击该应用可进入终端命令行并显示当前Volatility支持的命令行及命令行含义(注: Volatility为命令行工具,自行开启系统“终端命令行”后键入volatility -h可获得以上操作相同的命令行展示信息)
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
kali 安装volatility_Linux下内存取证工具Volatility的使用
weixin_39605521的博客
12-18 1332
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
内存取证
人饭子的博客
10-30 1366
内存取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取重要信息。 相关文章 计算机内存取证技术 数字取证-死活取证 Linux Forensics Series Chapter 1 — Memory Forensics 使用工具进...
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2314
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
Kali linux 学习笔记(八十七)计算机取证——工具(dumpit、volatility) 2020.4.22
闵行小鱼塘
04-22 7519
本节学习计算机取证工具,不考虑法律因素、法庭证据、监管链、文档记录等环节,只学习kali中部分取证工具
2022年安徽省赛赛题——B-1任务一:内存取证
panda.
09-23 1110
2022年安徽省赛赛题——B-1任务一:内存取证
取证——内存取证
m0_73756016的博客
04-12 1334
内存取证是指在计算机或其他数字设备运行时,通过对其随时存储的内存数据进行采集、分析和提取,以获取有关设备状态、操作过程和可能存在的安全事件的信息。内存取证是数字取证的一个重要分支,用于从计算机的RAM(随机存取存储器)或其他设备的内存中提取关键信息,以便了解设备在特定时间点的状态和活动。
linux取证内存取证
NFMSR的博客
07-19 2862
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
Kali Linux 数字取证(一)
龙哥盟
07-15 934
在今天的世界中,新的威胁、违规行为和恶意活动经常在新闻、网站和门户网站上被发现和发布。尽管我们尽力保护我们的数据、系统和网络,但仍然会发生违规行为。为了了解发生了什么,我们转向数字取证领域。尽管数字取证仍然是一个相对较新的领域,但在考虑到任何访问互联网并意图进行恶意活动的人可以获得的大量信息时,取证已经变得和安全一样重要。值得庆幸的是,数字指纹和工件有时会留下痕迹,无论是在已删除或隐藏的文件、电子邮件、某人的浏览历史、远程连接列表,甚至是移动短信中。
内存取证——文件
苟有恒,必有三更眠,五更起。
11-05 3037
文件 notepad里的秘密(二)0x00文接上文,前一篇关于内存取证读取进程。这篇总结一下,内存取证读取文件。0x01step1:常规操作,先读取内存类型:step2:可以得到profile类型 WinXPSP2x86 -f 指定文件。看进程?还像上一题?不存在的!出来很多文件,但是没有notepad进程。step3:昨天阅读帮助,今天又读了一遍,发现我们除了进程,还可以查看文件,命令:vola...
CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型
Ba1_Ma0的博客
03-16 5660
本篇文章演示的插件已经可以做绝大部分题目了,之后就多在buuctf或者ctfshow等线上ctf平台刷题,积累经验。
简单的内存取证介绍
qq_41814777的博客
10-26 1837
定义: 通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据。 内存是操作系统及各种软件交换数据的区域,数据易丢失(Volatile),通常在关机后数据很快就消失。(是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。) 工具介绍:volatility volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统...
volatility3查看当前内存镜像注册表中用户名
最新发布
09-12
Volatility是一个用于分析内存转储文件的强大工具,可以用于取证分析等目的。在Windows操作系统中,注册表是一个非常重要的系统数据库,它存储了有关系统配置和用户信息的数据。使用Volatility查看当前内存镜像中的注册表信息,尤其是用户信息,可以帮助调查者获取系统活动时的相关用户数据。 要使用Volatility查看内存镜像中的注册表信息,你可以使用volatility框架提供的特定插件,例如`windows.registry.hivelist`插件来列出所有的注册表Hive文件。之后,可以使用如`windows.registry.printkey`插件来查看特定的注册表键值,比如查看当前登录的用户名。 请注意,具体命令和操作可能需要根据你使用的Volatility版本和你的操作系统类型(32位或64位)有所不同。以下是一个基于Volatility的示例流程: 1. 首先,使用`hivelist`插件列出所有注册表Hive文件的路径: ``` python vol.py -f memory_dump.img --profile=Win7SP1x86 windows.registry.hivelist ``` 这里`-f memory_dump.img`是内存转储文件的路径,`--profile=Win7SP1x86`是你分析的系统类型。 2. 接着,使用`printkey`插件来查看特定Hive文件下有关用户的注册表信息,例如`HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users`,这个路径下包含了用户的SID信息: ``` python vol.py -f memory_dump.img --profile=Win7SP1x86 windows.registry.printkey -o 0x82a6b218 -k "SAM\\SAM\\Domains\\Account\\Users" ``` 在这里`-o 0x82a6b218`是Hive头的偏移量,这个偏移量需要根据实际情况从`hivelist`插件的输出中获取。 请记住,实际使用时需要根据你的具体内存转储文件和系统环境调整命令参数。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值