利用内存镜像爆破开机密码的两种方法

最新推荐文章于 2024-09-05 03:15:24 发布

YnG_t0

最新推荐文章于 2024-09-05 03:15:24 发布

阅读量1.2k

点赞数

分类专栏： Misc 文章标签：安全

本文链接：https://blog.csdn.net/qq_47168481/article/details/121593200

版权

Misc 专栏收录该内容

8 篇文章 0 订阅

订阅专栏

Passware分离出密码

下载安装
点击 memory analysis
在这里插入图片描述点击next即可破解（无法分离即利用mimikatz）：

在这里插入图片描述

mimikatz破解

安装必要的库，mimikztz是python2环境的，双环境地话windows下的话可能不太好安装，最好再linux中进行

sudo pip2 install construct==2.5.5-reupload

下载脚本，其中mimikatz在 /FrancescoPicasso 这个目录下面，复制到volatility中plugins下面

git clone https://github.com/volatilityfoundation/community.git

其次运行plugins需要安装一下依赖

sudo -H pip install distorm3 pycrypto openpyxl Pillow 
sudo apt-get install yara
PS：如果仍然报错yara有问题，可以尝试连接yara的so文件到系统
ln -s /usr/local/lib/python2.7/dist-packages/usr/lib/libyara.so /usr/lib/libyara.so

最后运行调试（按照插件放地路径进行修改即可）：

vol.py --plugins=/home/jhy/ctftools/volatility/volatility/plugins/ -f XXXX.raw --profile=Win7SP1x64 mimikatz

在这里插入图片描述还有问题的话检查一下库是否安装全了，版本是否是对的，就可以了。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

YnG_t0

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析（超详细解析）

Jay

12-20

2180

4.从内存文件中找到异常程序植入到系统的开机自启痕迹，使用Volatility工具分析出异常程序在注册表中植入的开机自启项的Virtual地址，将Virtual地址作为Flag值提交；DLL dlllist -p 查看一下这个进程的查看一下这个进程的DLL，发现程序是在temp目录下执行的，那这个应该就是恶意软件进程了。5.从内存文件中找到异常程序植入到系统的开机自启痕迹，将启动项最后一次更新的时间作为Flag值（只提交年月日，例如：20210314）提交。

[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码

杨秀璋的专栏

02-28

8824

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了Procmon软件基本用法及文件进程、注册表查看，这是一款微软推荐的系统监视工具，功能非常强大可用来检测恶意软件。这篇文章将讲解虚拟机基础知识，包括XP操作系统安装、文件共享设置、网络快照及网络设置等，最后分享虚拟机中安装安全软件进行BBS密码抓取的实验。基础性文章，希望对您有所帮助。

参与评论您还未登录，请先登录后发表或查看评论

CTF刷题笔记 - misc方向 - 电子取证内存分析_ctf 镜像恶意进程分析(1)

碧海朝天素

04-08

1180

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。

CTF刷题笔记 - misc方向 - 电子取证内存分析_ctf 镜像恶意进程分析

最新发布

2401_86436851的博客

09-05

1164

首先，分析VMEM文件整体信息然后，通过 lsadump 查看内存中密码凭据的明文缓存数据，得到flag。

破解入门（六）-----实战“内存镜像法”脱壳

系统运维

06-13

504

内存镜像法的步骤（1）用OD打开软件（2）点击选项——调试选项——异常，把里面的忽略全部√上。CTRL+F2重载下程序（3）按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的代码段.text（或者CODE）（也就是00401000处），按F2下断点。然后按SHI...

Windows~通过ISO镜像修改密码

一个懒鬼的博客

08-03

3574

因为system32目录下的文件无法直接修改文件名，修改密码后，还需要重新从镜像启动，把system32目录下的osk.exe恢复成原来的cmd.exe，否则系统的cmd无法使用。复制system32目录下的osk.exe文件到C盘下，这里是备份一下，后续需要恢复。还需把C盘下的osk.exe拷贝到system32目录下，当然你也可以选择不拷贝，毕竟屏幕键盘用的比较少。也可以通过ISO镜像直接进入PE，这种镜像可以在IT天空网站下载到，也是通过ISO镜像启动。不需要再从镜像启动了，正常启动系统就行。...

破解Windows本地账户密码（拿到明文密码）

zhangkexin3的博客

01-26

1220

破解Windows本地账户密码

【Windows取证篇】Windows镜像仿真绕过开机密码技巧

蘇小沐的电子数据取证博客

12-04

4218

【加解密篇】Windows虚拟机全系列密码破解教程在电子取证中，遇到的是镜像格式，首先就需要镜像仿真进入系统，还经常会遇到系统有密码的情况，这一步很多人会选择同型号的系统镜像来替换，但是，系统镜像动辄4、5个GB大小，下载速度慢、修改步骤复杂，此篇介绍设置光驱启动的方法，加载PE镜像工具破解Windows系列密码 —【suy】文章目录【加解密篇】Windows虚拟机全系列密码破解教程一、DD镜像仿真1、实验数据2、镜像仿真教程：**[【电子取证：镜像仿真篇】DD、E01系统镜像动态仿真](https:/

D类功放几种常见“爆破音”问题根源与改善措施

qq_26815321的博客

06-19

2199

在数字D类功放刚上电或功放播放状态切换时，人耳偶尔会听到“嘣”的声音，我们把这个爆破的Pop Noise。数字功放Pop Noise 出现的原因有很多，本文主要分析Pop Noise 出现原因，并提供相应解决方法。

【进大厂必学】3W字180张图学习Linux基础总结

L的存在的博客

05-26

4462

就不多说这段时间干啥去了吧，期间和很多的同学聊了天，有的童鞋已经开始工作，聊了聊工作上的事儿。有的是今年即将毕业的童鞋，有着自己的小目标，有的想尝试互联网，所以现在基本上都快进行二轮的复习了，有的同学备战公务员，凭着年轻这股劲儿向往自己理想的生活状态，无论怎么样，长路漫漫，走一步，算一步，每一步都算数。今天分享的这篇文章是 Linux 相关的基础知识，深一点的内容基本上没有，不过对于刚需小伙伴来说，也就够了，有时间的话，最好按照这些命令去试一试，敲一敲，这样记忆更加深刻。老规矩，先看目录，文章比较长，建

[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例（一）

杨秀璋的专栏

04-10

1万+

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了SMBv3服务远程代码执行漏洞（CVE-2020-0796），攻击者可能利用此漏洞远程无需用户验证，执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目，采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧，作者选择了Vulnhub靶场，希望深入分析来

[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令

热门推荐

杨秀璋的专栏

03-19

1万+

作为Web渗透的初学者，Linux基础知识和常用命令是我们的必备技能，本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透，你需要学好Linux及相关命令，以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全（Web渗透）和系统安全（PWN逆向）两个方向。非常基础的一篇文章，希望能够帮助到您！

【红队技巧】Windows存储的密码获取

网安君的博客

04-21

1385

【红队技巧】Windows存储的密码获取使用前提支持版本利用方式参考：使用前提需要得到Windows系统密码支持版本 Windows全版本微软表示此功能仅包含在 Windows XP 中。它目前不包含在任何其他版本的 Windows 中，也不会包含在任何未来版本的 Windows 中。但是经过测试此函数功能可以在任意Windows版本中使用。利用方式 rundll32 keymgr.dll, KRShowKeyMgr 使用CredentialsFileView工具 Credentials

VM虚拟机忘记密码，ISO镜像修改

weixin_42168040的博客

01-24

761

VM虚拟机忘记密码，ISO镜像修改密码，从ISO镜像启动系统

BMZCTF：memory

末初的CSDN博客

12-13

1102

http://bmzclub.cn/challenges#memory 题目描述.txt 分析内存镜像,破解管理员的登录密码,flag为明文密码的MD5值把内存中所有用户的hash全部dump出来存为文件，使用john进行爆破得到Administrator账户密码：12345678 PS C:\Users\Administrator> php -r "var_dump(md5('12345678'));" Command line code:1: string(32) "25d55a

CTF刷题笔记 - misc方向 - 电子取证/内存分析

m0_62652276的博客

12-31

2814

DPAPI技术是Windows提供的一种数据保护API，它本质上使用了Windows通过用户自己登录（sids，登录密码等），以及域登录后的一些数据生成的密钥，并且使用内置的算法，对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密，需要获取当前操作系统登录用户对应的 Master Key，而获取 MasterKey 需要知道用户名、密码以及对应的SID，然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey，从而对目标blob进行解密。

蓝帽杯2022初赛

m0_64180167的博客

08-15

482

首先我们直接对 1.dmp 使用 vol查看答案就是 anxinqi。

内存取证之NSSCTF-OtterCTF 2018（复现赛）

wuwuliuliu0524的博客

07-21

1564

6-8}0x400x060x?{18}0x5a0x0c0x00{2}What'srick'scharacter'sname?答案使用-连接加上NSSCTF{}格式提交，例如游戏名为test，IP为127.0.0.1，提交NSSCTF{test-127.0.0.1}答案使用-连接加上NSSCTF{}格式提交，例如PC名为test，IP为127.0.0.1，提交NSSCTF{test-127.0.0.1}{18}0x5a0x0c0x00{2}，Rick的角色叫什么？......

CTF-蓝帽杯 2022 初赛Misc计算机取证题目详解

m0_62574258的博客

06-23

1049

使用工具：Volatility、Passware Kit、Arsenal Image Mounter、DiskGenius题目文件如下：首先要知道这些文件是什么：dmp后缀指Dump文件，是windows系统中的错误转储文件。包含计算机程序运行时的内存信息的文件。通常操作系统或应用程序在遇到系统崩溃、死机或其他严重错误时，会自动将程序运行环境的所有信息导出到一个.dmp文件中。所以可以利用该文件帮助程序员诊断程序运行过程中的错误，还可以获取账户、密码等敏感信息。