内存取证(仅个人思路)

最新推荐文章于 2023-12-20 10:10:07 发布
最新推荐文章于 2023-12-20 10:10:07 发布
阅读量4.2k 收藏 14
点赞数 2
分类专栏: 旺仔_学习笔记 文章标签: web安全 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50377269/article/details/121486512
版权

volatility -f test2.raw imageinfo

获取镜像详细信息 profile参数很重要 

volatility -f test2.raw --profile=Win7SP1x64 hashdump

获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解

 

 

如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码

还有一种是 lsadump 能出来断断续续的密码 不是完整的

volatility -f test2.raw --profile=Win7SP1x64 netscan 查看网络连接情况

会出来很多信息 这里ip根据开放的端口我们判断是10.30.21.96 去虚拟机中检测 也确是如此

volatility -f test2.raw --profile=Win7SP1x64 envars | grep USERNAME

即可查看主机名,注意要去掉后面的 $ 符号

获取flag文件思路:

1. 获取桌面文件名称,猜解其内容

volatility -f test2.raw --profile=Win7SP1x64 filescan | grep Desktop

2. 可能是桌面打开了一个notepad程序 使用notepad参数可以看到

volatility -f test2.raw --profile=Win7SP1x64 notepad

挖矿进程思路:

1. 先找名字异常的进程 比如Explore.exe 原系统进程是 explorer.exe

2. 在上一种方式魏国的情况下监察系统进程的启动时间 从启动时间判断

3. 反正只要求提交端口和ip,找外部ip一个一个试

volatility -f test2.raw --profile=Win7SP1x64 netscan/connscan

volatility -f test2.raw --profile=Win7SP1x64 svcscan

volatility -f test2.raw --profile=Win7SP1x64 hivelist

获取浏览器历史记录

volatility -f test2.raw iehistory

会给一个url 从里面的参数可以看到搜索了什么

旺仔Sec
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
内存取证 volatility
07-12
内存取证 volatility
内存取证工具 MAGNET RAM Capture
11-09
小巧 300K左右 纯净
一文讲述内存取证的数据保存、数据分析、CTF实战案例
dzqxwzoe的博客
08-26 515
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记
Fly_鹏程万里
05-16 4445
简介windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深...
Windows内存取证思路-----volatility
最新发布
woshicainiao666的博客
12-20 1782
南华城里月如昼,十二玉楼非吾乡
内存取证常见例题思路方法-volatility (没有最全 只有更全)
路baby的博客
02-22 3996
内存取证常见例题思路方法-volatility (🎈没有最全 只有更全🎈) 决定出一期内存取证常见题型的文章,利于诸君平时做题 文章也会持续更新 加油各位( •̀ ω •́ )y 期待与君再相逢🎈
内存取证例题
qq_59706867的博客
04-13 407
内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;2.获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;可以使用john工具来爆破密码,但是好像没用。恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。获取当前系统浏览器搜索过的关键词,作为 Flag 提交;上一题中已经知道进程号是2588。查到父进程是3036。
内存取证(详细解析)
weixin_51957047的博客
04-16 483
Volatility -f /dev/nbd0 --profile=Win7SP1x64 iehistory 查看ie记录。1.从内存中获取到用户admin的密码并且破解密码,以flag{admin,password}形式提交(密码为6位);4.当前系统中存在挖矿进程,请获取指向的矿池地址,以flag{ip:端口}形式提交;2.获取当前系统ip地址及主机名,以flag{ip:主机名}形式提交;5.恶意进程在系统中注册了服务,请将服务名以flag{服务名}形式提交。对/dev/nbd0进行分析
溯源取证 - windows内存取证 - 中级
weixin_48421613的博客
06-07 1622
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
内存取证之volatility常用命令
shshshsh_的博客
11-09 710
volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址。volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址。这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。
内存取证 && volatility工具(持续更新)
苦行僧的妖孽日常
10-03 429
中国工业互联网安全大赛writeup
2021年中职网络安全国赛内存取证环境
06-21
2021年全国职业院校技能大赛中职组”网络安全“赛项比赛任务环境(内存取证
内存取证的框架
01-20
该为在内存取证中常用的框架,功能强大,使用该框架分析出电脑有无染上恶意代码或恶意病毒。
内存取证的艺术
02-21
取证分析,从日志,内存等方面去分析当一个机器被入侵后,会出现一些什么情况。还有涉及到注册表,以及一些文件夹里面存在的历史记录等等。还有浏览器浏览记录
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
volatility内存取证----命令演示
热门推荐
Battery的博客
05-11 8万+
介绍:取证题在ctf中占比越来越大,作为新入ctf的我来说,打的几场ctf几乎每次都有取证题,之前的比赛也都是无可奈何,终于沉下心认真复现了一道题目。 volatility的安装 以前的老版本kali有自带的volatility,所以能够直接使用,但是现在的版本基本上都需要自己下载安装了,主要是依赖于python环境安装,需要一些库,建议使用python3 下载链接:https://www.volatilityfoundation.org/releases 下载好之后直接到根目录直接运行vol.py
volatility内存镜像取证
M3ng@L的博客
01-15 3913
volatility内存镜像取证 在misc中raw文件一般不是一个图像文件,RAW(图像文件)_百度百科 (baidu.com) 而是内存镜像文件,(10条消息) 内存映像文件简介_hust_sheng的专栏-CSDN博客_内存映像文件 也就是说在这个镜像文件里面,我们可以看到当时主机上运行的进程以及交换的文件 这里介绍使用volatility对raw文件进行取证,也就是是内存取证 volatility安装(10条消息) volatility安装及使用_陈止风的博客-CSDN博客_volatility安装
内存取证-volatility工具的使用 (史上更全教程,更全命令)
路baby的博客
10-20 5万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值