volatility内存取证分析与讲解(持续更新)

0x01 volatility的安装

本人暂时只使用windows下的volatility进行取证,安装方法如下:
volatility安装网址
进去之后,找到windows版本然后直接下载即可。
在这里插入图片描述


直接解压,就能用。

0x02 基本使用


1.volatility_2.6.exe -f .\Target.vmem imageinfo
查看镜像的基本信息。使用的时候可以将这个软件和需要取证的镜像放到一起。
在这里插入图片描述
volatility 建议当做 Win7SP1x64 的镜像,后面的参数使用–profile(两根横杠)



2.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 pslist
套神上说的,看完镜像直接查看这个镜像上有那些进程正在运行 pslist应该比较好理解就是进程的列表的意思。
在这里插入图片描述


tips:
psxview : 可查看一些隐藏进程
pstree : 以树的形式来列出正在进行的进程,不会显示出隐藏或未链接的进程(套神说的)

3.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 cmdscan
查看镜像的历史命令,就是和linux中history差不多。
在这里插入图片描述

这个镜像好像没有,有的情况如下:
在这里插入图片描述



4.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 consoles
这个会比上面那个更好一些,能看到指令的输入和输出。
在这里插入图片描述

5.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 cmdline
此指令将会列出所有命令行下运行的程序
在这里插入图片描述



6.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 privs
显示进程权限
在这里插入图片描述



7.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 envars
显示环境变量
在这里插入图片描述


8.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 filescan
9.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 filescan | grep "flag"
10.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 filescan | grep -E “png”
直接扫文件,第二个比较重要,可能要直接找flag文件。



11.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 dumpfiles -Q [PID] -D ./
通过相应的进程能直接dunp出相关的文件。
在这里插入图片描述



12.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 editbox
查看系统正在运行的编辑本

13.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 dumpregistry --dump-dir=./registry/
导出系统的注册表

14.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 screenshot -D ./
查看并导出屏幕的截屏【需要安装PIL库】

15.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 clipboard
查看剪贴板数据,加一个-v可以导出相关的数据。
在这里插入图片描述



16.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 iehistory
查看浏览器的历史记录,本地文件也一样。

在这里插入图片描述



17.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"查看用户名
在这里插入图片描述



18.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
打印出最后登录的用户
在这里插入图片描述



19.volatility_2.6.exe -f .\Target.vmem --profile=Win7SP1x64 hashdump
获取各个账号的MD5加密密码,涛神这里是使用hivelist找出获取system 的 virtual 地址,SAM 的 virtual 地址,然后在使用hashdump -y SYSTEM_virtual -x SAM_virtual.
在这里插入图片描述
直接hashdump的


在这里插入图片描述



20.python2 vol.py -f pc.raw --profile=Win7SP1x64 screenshot -D ./7DAS/ [linux中]
导出截图
在这里插入图片描述



21.python2 vol.py -f pc.raw --profile=Win7SP1x64 mimikatz [linux中]
插件取密码,直接爆破出用户密码。
在这里插入图片描述

这次先更新到这里。

0x03 取证实战(持续更新)

第六届蓝帽杯取证 (VOL+取证大师).

0x04 总结

常规取证思路大多如此,涉及到深入的攻击流量取证或则计算机内部的一些东西那就要看个人知识广度了。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值