Misc-内存取证

最新推荐文章于 2023-12-31 01:54:11 发布
最新推荐文章于 2023-12-31 01:54:11 发布
阅读量932 收藏
点赞数
文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42240719/article/details/127135156
版权

volatility2入门

入门Labs: https://github.com/stuxnet999/MemLabs (需要魔法上网)

安装方法

下载 Download the Volatility 2.6 Linux Standalone Executables (x64),将其standalone文件改名后挂载到系统变量(或者直接丢到sbin文件里)

常用的命令
  1. 查看dump或者raw的操作系统类型
volatility -f target.raw imageinfo

  1. 查看进程

    volatility -f target.raw --profile Win7SP1x64 pslist
volatility -f target.raw --profile Win7SP1x64 pstree
# 可疑软件列表
## 1. KeePass
## 2. Chrome
## 3. mspaint
## 4. notepad
# 进程转储到一个可执行的文件
volatility -f target.raw --profile Win7SP1x64 procdump -p PID -D ./

  2. 命令行相关

    # 查看执行命令行的历史记录
volatility -f target.raw --profile Win7SP1x64 cmdscan 
volatility -f target.raw --profile Win7SP1x64 consoles
# 查看进程的命令行参数
volatility -f target.raw --profile Win7SP1x64 cmdline

  3. 获取内存中的系统密码

    volatility -f target.raw --profile Win7SP1x64 hashdump

  4. 获取浏览记录

    volatility -f target.raw --profile Win7SP1x64 iehistory
## 对于chrome的历史记录 可以用chromehistory 也可以查找History这个文件用数据库打开

  5. 提取文件对象池信息

    volatility -f target.raw --profile Win7SP1x64 filescan
# 提取文件
volatility -f target.raw --profile Win7SP1x64 dumpfiles -Q $OFFSET -D ./

  6. 查看环境变量

    volatility -f target.raw --profile Win7SP1x64 envars

  7. 涉及到删除信息查看MFT表

     volatility -f MemoryDump_Lab4.raw --profile Win7SP1x64 mftparser > mft.txt
Yusio2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
volatility命令使用 misc部分取证解题(部分内存取证
(●'◡'●)
07-13 3590
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取 将内存中的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
2022——赣网杯MISC题目来学习volatility
小菜猴子_x
03-03 418
2022——赣网杯MISC题目来学习volatility
关于我在windows使用volatility取证这档事
u011250160的博客
09-24 6309
官网下载地址:https://www.volatilityfoundation.org/releases volatility3的官方文档:https://volatility3.readthedocs.io/en/latest/basics.html 下载 看清有两个版本,用法不一样 第一次我下载了Volatility 2.6 Windows Standalone Executable (x64) 结果执行Volatility.exe老是报出error 然后我果断删除了2.6 下载了3.0 版本差异 而
CTF-misc内存取证心得笔记
Pompey_wp的博客
09-17 287
除此之外还需要 /boot 目录下的 System.map 文件,然后将这两个文件打包压缩,放在 volatility/plugins/overlays/linux 目录下即可,再执行 volatility --info 就可以看到新的 Linux profile 了。dump 出来的内存中往往会存在一些字符串,可以用 strings 命令提取出来,然后通过搜索来寻找一些特定的字符串,比如 flag、secret 啥的。volatility3 -f banners 可以检测当前 Linux 版本。
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 2537
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
CTFshow misc入门 持续更新中
weixin_66959526的博客
04-11 3428
misc24 得到一个bmp格式图片文件,根据题目提示:flag在图片上方 知识点:bmp格式的图片(优点:无损压缩,图片质量好。)(缺点:文件太大) 使用010 Editor打开 修改图片高度 将0096 修改为00F0 得到flag ctfshow{dd7d8bc9e5e873eb7da3fa51d92ca4b7} misc25 得到一个png格式的图片 这题和24题差不多 题目提示:flag在图片下面 有时候感觉手工太累,找到一个大佬的脚本 一键破解png图片宽高 import struct.
蓝帽杯 2022 初赛Misc计算机取证所用工具和题目文件
最新发布
06-23
包含Arsenal-Image-Mounter、DiskGenius 64bit、Passware Kit工具,和题目用的内存镜像
winhex_v18.7
04-08
WinHex_v18.7是一款功能强大的十六进制编辑器,专为逆向工程、数据恢复和取证领域设计。它以其全面的工具集和深度分析能力在IT专业人士中备受推崇。这款软件不仅可以查看和编辑任何二进制文件,还特别适用于处理磁盘...
misc_malware
04-07
这可能包括了Python脚本、数据结构、函数定义等,用于解析恶意软件的二进制文件、日志、内存转储或网络流量。 在深入研究这个misc_malware项目时,我们可能会遇到以下几个关键知识点: 1. **恶意软件逆向工程**:...
CTF工具之foremost--windows(misc).rar
09-16
在CTF(Capture The Flag)竞赛中,"misc"类别的挑战通常涉及到各种技术,其中包括数据恢复。在这个领域,`foremost`是一款非常重要的工具,它专长于从硬盘、内存、图像文件甚至磁盘镜像中提取和恢复已删除或丢失的...
2021年“绿城杯”网络安全大赛
09-30
6. **取证分析**:模拟真实世界的情景,参赛者需要收集和分析数据,以确定安全事件的发生过程,这可能涉及到硬盘取证内存取证和网络流量分析等。 7. **物联网安全**:随着物联网设备的普及,比赛可能涉及IoT设备...
MISC-难-HIBC4x4
weixin_66959526的博客
04-26 259
原创:Misc_Raw_Recruit
volatility内存镜像取证
M3ng@L的博客
01-15 4181
volatility内存镜像取证misc中raw文件一般不是一个图像文件,RAW(图像文件)_百度百科 (baidu.com) 而是内存镜像文件,(10条消息) 内存映像文件简介_hust_sheng的专栏-CSDN博客_内存映像文件 也就是说在这个镜像文件里面,我们可以看到当时主机上运行的进程以及交换的文件 这里介绍使用volatility对raw文件进行取证,也就是是内存取证 volatility安装(10条消息) volatility安装及使用_陈止风的博客-CSDN博客_volatility安装
MISC:压缩包取证(zip爆破、明文攻击、伪加密、CRC32碰撞)
热门推荐
小哈里的博客
09-19 1万+
在爆破时我们所枚举的所有可能字符串的 CRC32 值是要与压缩源文件数据区中的 CRC32 值所对应。即使有时没有恢复密码,也可以使用明文攻击,最后点保存还是能得到压缩包里内容的。爆破:逐个尝试选定集合中的可以组成的所有密码,直到遇到正确的密码。我们去计算文件的 CRC32 值发现和上图中的 CRC32 值吻合。以及一个包含测试1的伪加密的压缩包(CRC32相同,>12字节),导入字典文件用字典中的密码进行破解(取决你的字典)推荐一个好用的6位的CRC32爆破工具。暴力枚举,跑字典,明文攻击,应有尽有。
内存取证_V&N2020 公开赛Misc-内存取证 Writeup
weixin_39869959的博客
01-12 463
随随便便打个比赛,这道题是做到的最恶心的。卡了接近12h。废话少说,先来看题。内存取证,附件下载下来是个512M的内存Dump。直接上神器 Volatility,看看有啥进程。存在以下几个可疑的mspaint.exenotepad.exeTrueCrypt.exe 取证大师扫一下,看到个 share.txt,提示百度云链接,以及提取码 heem(或者你愿意也可以手动在strings里面找可疑的,笑...
BUUCTF_MISC详解
wwxxss
10-31 770
新手buuctfmisc教学
buuctf misc USB
zip471642048的博客
07-06 930
题目地址 : https://buuoj.cn/challenges#USB Vigenere : https://atomcated.github.io/Vigenere/
Misc(buuoj)
AKAXPD的博客
01-25 2806
一、[GWCTF2019]math 开启靶机连接环境。题目给出了一个算式,但是算不了几秒就退出了。 同时还给了我们源程序:"gwctf_2019_math"。 放到IDA64里看一下,找到它的主函数。 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int seed; // ST14_4 unsigned int v4; // ST18_4 unsigned int v5; // ...
kbd-misc-2.5.1
09-13
kbd-misc-2.5.1是一个Linux操作系统下的键盘输入处理工具包,它包含了一些常用的工具和驱动程序,如loadkeys、dumpkeys、kbd_mode等。这些工具可以帮助用户配置和管理Linux系统下的键盘输入设备,包括设置键盘映射、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值