volatility -f test2.raw imageinfo
获取镜像详细信息 profile参数很重要
volatility -f test2.raw --profile=Win7SP1x64 hashdump
获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解
如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码
还有一种是 lsadump 能出来断断续续的密码 不是完整的
volatility -f test2.raw --profile=Win7SP1x64 netscan 查看网络连接情况
会出来很多信息 这里ip根据开放的端口我们判断是10.30.21.96 去虚拟机中检测 也确是如此
volatility -f test2.raw --profile=Win7SP1x64 envars | grep USERNAME
即可查看主机名,注意要去掉后面的 $ 符号
获取flag文件思路:
1. 获取桌面文件名称,猜解其内容
volatility -f test2.raw --profile=Win7SP1x64 filescan | grep Desktop
2. 可能是桌面打开了一个notepad程序 使用notepad参数可以看到
volatility -f test2.raw --profile=Win7SP1x64 notepad
挖矿进程思路:
1. 先找名字异常的进程 比如Explore.exe 原系统进程是 explorer.exe
2. 在上一种方式魏国的情况下监察系统进程的启动时间 从启动时间判断
3. 反正只要求提交端口和ip,找外部ip一个一个试
volatility -f test2.raw --profile=Win7SP1x64 netscan/connscan
volatility -f test2.raw --profile=Win7SP1x64 svcscan
volatility -f test2.raw --profile=Win7SP1x64 hivelist
获取浏览器历史记录
volatility -f test2.raw iehistory
会给一个url 从里面的参数可以看到搜索了什么