内存取证——volatility命令

最新推荐文章于 2024-08-22 10:10:53 发布
最新推荐文章于 2024-08-22 10:10:53 发布
阅读量9.6k 收藏 61
点赞数 13
分类专栏: 取证分析 文章标签: linux windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43431158/article/details/109462833
版权

文章目录

前言

经常遇到内存取证的题目,就把volatility一些常见的命令给总结下来,方便之后自己的做题。

常用命令

0x01:查看镜像系统
volatility -f 1.raw imageinfo

在这里插入图片描述
支持的系统中有Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86,要验证那一个系统正确,可以使用命令:

#调出shell窗口,如果正确的话便可以getshell
volatility -f 1.raw --profile=Win7SP0x86 volshell
#shell命令:
dt("内核关键数据结构名称")
dt("_PEB")

在这里插入图片描述
得到正确的镜像系统后,便可以在后面加上

--profile=Win7SP0x86
0x02:列举进程
volatility -f 1.raw --profile=Win7SP0x86 pslist

在这里插入图片描述
除此之外,与其类似的还有pstree,可以识别子进程和父进程,且可以显示出被隐藏的病毒

volatility -f 1.raw --profile=Win7SP0x86 pstree

在这里插入图片描述
列出进程后,找可疑的进程进行提取

volatility -f 1.raw --profile=Win7SP0x86 memdump -p 252 -D ./
  1. --profile的参数为系统版本
  2. -p的参数为进程ID
  3. -D的参数为保存文件的路径

进程里面可能会隐藏flag等关键信息,可以使用以下命令查看dump

strings -e l 252.dmp | grep flag
#-e的参数为编码方式,其中l为16-bit编码

在这里插入图片描述

0x03:列举注册表
volatility -f 1.raw  --profile=Win7SP1x86 hivelist

在这里插入图片描述
导出注册表

volatility -f 1.raw  --profile=Win7SP1x86 hivedump -o 0x93fc41e8(注册表的 virtual 地址)

在这里插入图片描述

0x04:获取浏览器浏览历史
volatility -f 1.raw  --profile=Win7SP1x86 iehistory
0x05:扫描文件
volatility -f 1.raw  --profile=Win7SP1x86 filescan | grep flag
#filescan会扫描内存中所有文件

在这里插入图片描述
如果要提取的话,使用dumpfiles提取文件

volatility -f 1.raw  --profile=Win7SP1x86 dumpfiles -Q 0x000000003e71e608 --dump-dir=./
  1. -Q的参数为 内存地址
  2. --dump-dir的参数为导出文件的目录

扫描图片的命令

volatility -f 镜像名 --profile=系统版本 filescan | grep -E 'jpg|png|jpeg|bmp|gif'
0x06:列举用户及密码
volatility -f 1.raw  --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

在这里插入图片描述
获取最后登陆系统的用户

volatility -f 1.raw  --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

在这里插入图片描述

从内存中获取密码哈希

先获取到注册表中的system 的 virtual 地址,SAM 的 virtual 地址

volatility -f 1.raw  --profile=Win7SP1x86 hivelist

在这里插入图片描述
使用命令:

volatility -f 1.raw  --profile=Win7SP1x86 hashdump -y 0x8a01c008 -s 0x93fc41e8

在这里插入图片描述
解出来密码
在这里插入图片描述

0x07:获取屏幕截图
volatility -f 1.raw  --profile=Win7SP1x86 screenshot --dump-dir=./

在这里插入图片描述
有时可以通过截图看做了什么操作

0x08:其他命令

cmd命令使用情况

volatility -f 1.raw  --profile=Win7SP1x86 cmdscan

查看cmd详细情况

volatility -f 1.raw  --profile=Win7SP1x86 cmdline

在这里插入图片描述
查看开启的windows服务

volatility -f 1.raw  --profile=Win7SP1x86 svcscan

在这里插入图片描述

总结

这些命令总结下来,方便之后自己使用。

lemonl1
关注
专栏目录
内存取证——基础知识(volatility内存取证
记录并分享学习安全的知识点..
01-11 923
内存取证——基础知识(volatility内存取证
内存取证——ABC包
panda.
11-29 459
​ 1、获取数据包的镜像信息 2、获取主机名字 3、列出文件中曾使用的进程信息 题目要求我们去查看管理员的信息 使用命令查找列出有关管理员的信息继续操作(这里发现管理员注册表) 这个文件里存放着管理员的一些基本信息 已发现此的虚拟地址 打开查看 4、获取管理员用户密码 这里可以看到是这条注册表记录 接下来指定查看信息 可以看到这里面有三个用户 但admin和guest是默认的有权限的用户 所以这里只能是okra是给予的超级用户权限 接下来获取这个用户的hash值 我们要求的是okra这个用户
内存取证 | Volatility使用手册
hackzkaq的博客
02-01 700
镜像文件。
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
渗透测试内存取证
最新发布
baimao__Ch的博客
08-22 671
所用系统:kali-linux-2019-2-amd64,此系统中预置Volatility(位于“应用程序”-“11 Forensics”)(“Forensics”译为“取证”)点击该应用可进入终端命令行并显示当前Volatility支持的命令行及命令行含义(注: Volatility命令行工具,自行开启系统“终端命令行”后键入volatility -h可获得以上操作相同的命令行展示信息)
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility常用的命令
菜菜的博客
09-30 2295
Volatility是一款开源的内存取证分析工具,支持WindowsLinux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
内存取证解题过程--Volatility常用命令
weixin_43891422的博客
08-07 5218
内存取证 所需软件: Linux平台下的VolatilityWindows平台下的010 Editor和Stegsolve 安装方法: Volatility在Ubuntu下安装命令:sudo apt install volatility Stegsolve在Github地址:https://github.com/Giotino/stegsolve 题目: https://share.weiyun.com/Y3B9kf0W 解题过程: 查看内存镜像信息: volatility -f zy.raw imag
内存取证——volatility
苟有恒,必有三更眠,五更起。
11-04 1万+
内存取证——volatility0x00最近没有做题,之前放掉的一个杂项题,现在重新看看。0x01通过hint,了解到内存取证这个神奇的东西,那么不急着做题,先把这个研究研究。0x02内存取证,是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。(个人理解,欢迎纠正)这里主要使用工具——volatility.0x03工具介绍:volatilityvolatility是一款开源的...
Kali linux 学习笔记(八十七)计算机取证——工具(dumpit、volatility) 2020.4.22
闵行小鱼塘
04-22 7528
本节学习计算机取证工具,不考虑法律因素、法庭证据、监管链、文档记录等环节,只学习kali中部分取证工具
Volatility工具——内存取证的解题思路步骤
2301_76524931的博客
09-22 473
内存取证的实战题目。
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
volatility内存取证----命令演示
热门推荐
Battery的博客
05-11 13万+
介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。 volatility的安装 以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3 下载链接:https://www.volatilityfoundation.org/releases 下载好之后直接到根目录直接运行vol.py
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3410
内存取证神器Volatility常用指令大全
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2326
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
内存取证-volatility工具的使用 (史上更全教程,更全命令
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证-volattlity
5L2g556F5ZWl77yf
09-30 5643
Volatility是开源的WindowsLinux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/archive/p/volatility/ 安装: kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值