内存取证之volatility

已于 2024-07-11 17:50:02 修改
阅读量26 收藏
点赞数
分类专栏: 内存取证 文章标签: 安全
于 2023-11-08 21:15:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shshshsh_/article/details/134295940
版权
前言,在这里介绍一下内存取证的命令,当然光看命令是不行的,那我们就边看边做题目,这里题目是取自于某次省赛的内存取证题目,让我们开始学校吧!

可以先了解一下基本命令,再来看可能会好一点。

任务编号

任务描述

1

请提交用户桌面下的压缩包的解压密码。

2

请提交root账户的登录密码(明文)。

3

请提交用户在命令提示符执行的命令。

4

请提交记事本程序中的FLAG值。

5

请将浏览器通过百度搜索引擎搜索的关键字作为FLAG值提交。

6

请提交剪切板中的FLAG值。

7

请提交内存镜像中的主机名。

8

请提交内存镜像的IP地址

9

请提交内存镜像中恶意进程的PID。

1.请提交用户桌面下的压缩包的解压密码

1.确认系统

volatility -f 文件 imageinfo

2.找到文件

volatility -f win7.vmem --profile=Win7SP1x86_23418 filescan | grep -E "zip"

volatility -f win7.vmem --profile=系统 filescan | grep -E "zip"

可以看到最后的Desktop,以此来确定需要解压的文件

3.dump下来

volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ff99038 -D /home/kali/Desktop

分析文件属性,发现属于zip,我们给他重命名一下

zip2john hash.zip                获取压缩包的哈希值

将红色区域写入hash.txt

下面可以要用到john工具

这里我已经解过了,所以直接查看

qwer1234

2.请提交root账户的登录密码(明文)

volatility -f win7.vmem --profile=Win7SP1x86_23418 hashdump

volatility -f win7.vmem --profile=Win7SP1x86_23418 lsadump

3.请提交用户在命令提示符执行的命令

volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdscan

4. 请提交记事本程序中的 FLAG 值

volatility -f win7.vmem --profile=Win7SP1x86_23418 editbox

5. 请将浏览器通过百度搜索引擎搜索的关键字作为 FLAG 值提交

volatility -f win7.vmem --profile=Win7SP1x86_23418 iehistory

在这里发现什么都没有,但是我们可以发现上一题里面有这个

flag%7Bc6d1945e8969942ac9dc1f52974436%7D发现类似flag值

这里可以url发现,把#7B和%7D解码为{和}

flag{c6d1945e8969942ac9dc1f52974436}

6. 请提交剪切板中的 FLAG 值

volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdscan

7. 请提交内存镜像中的主机名

1.注册表

volatility -f win7.vmem --profile=Win7SP1x86_23418 hivelist

2.查看注册表的键

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 printkey

3.一步步查找

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001" printkey

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control" printkey

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control\ComputerName" printkey

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control\ComputerName\ComputerName" printkey

在这里说一下,不要嫌麻烦,熟练之后可以一步到位,开始还是慢慢来。

8. 请提交内存镜像的 IP 地址

volatility -f win7.vmem --profile=Win7SP1x86_23418 netscan

这里就是看出现的频率,频率搞得基本就是内存镜像ip

9. 请提交内存镜像中恶意进程的 PID

volatility -f win7.vmem --profile=Win7SP1x86_23418 netscan 

根据经验发现唯一已连接的,找唯一一个已建立的 ESTABLISHED

当然,我们以防万一还在查看一下进程

volatility -f win7.vmem --profile=Win7SP1x86_23418 pslist

可以看到有两个pid,所以3112和2468都是可以的。

我会随风而动
关注
专栏目录
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
内存取证Volatility
2301_76871571的博客
03-10 577
职业技能大赛赛前训练 训练平台——合天网安实验室
内存取证volatility及案例演示
m0_46467017的博客
08-27 3091
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。若没有不会安装可以查看这篇文章内存取证-Volatility安装使用以及一些CTF比赛题目。......
取证内存取证工具Volatility学习
shy的博客
03-30 767
Volatility是一款开源的内存取证分析工具,支持WindowsLinuxMaCAndroid等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2python3环境。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证工具Volatility学习
crowsec
09-14 6731
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。
内存取证——volatility学习
m0_75236662的博客
05-27 918
在做计算机最后两道题目碰到了MP3格式的镜像,分析发现是计算机内存,要进行内存取证。现在内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件通过盘古石比赛了解了内存取证类型的题目,在看别人题解的时候发现volatility为主流分析工具,安装后大致了解了操作流程和功能点。
内存取证volatility常用命令
shshshsh_的博客
11-09 860
volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址。volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址。这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。
内存取证volatility(例题[护网杯]Easy_dump)
苏生要努力
02-27 801
上面英文翻译结果如下,这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索。6 检查phos.jpg图片,图片无法查看,使用binwalk查看。在2616.dmp里面直接搜flag有关的信息,得到下一个提示是。8 怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片。寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复。文件,再次使用binwalk工具提取里面的文件。,即可得到隐藏在里面的。
volatility内存取证
yuyu
04-21 1188
本文主要讲述volatility软件的安装与使用
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
【蚂蚁HR-注册/登录安全分析报告】
最新发布
09-28 1155
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 681
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
【注册/登录安全分析报告:孔夫子旧书网】
weixin_46641057的博客
09-27 1271
孔夫子网简称孔网,创建于2002年,是大型的二手旧货、古旧图书和商品交易平台,是传统文化行业结合互联网而搭建的C2C平台,是有传统文化价值的旧货市场。网站主要板块是书店区和拍卖区。网站秉承“网罗天下图书,传承中华文明”的理念,致力于发掘、抢救、保护和传播中国传统文化资源。作为旧古书二手市场平台的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
安全服务面试
m0_74402888的博客
09-28 598
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
网络编程(5)——模拟伪闭包实现连接的安全回收
m0_63086198的博客
09-26 1157
new_session通过bind绑定时,new_session的计数就会加一,所以在bind后,new_session的生命周期和新构造函数的生命周期相同,因为新生成的函数对象引用了new_session(new_session通过值传递的方式被复制构造函数使用)。,但是通过bind操作,将new_session作为数值传递给bind函数,而bind函数返回的函数对象内部引用了该new_session所以引用计数增加1,这样保证了new_session不会被释放。今天学习如何通过C11智能指针构造伪。
Volatility内存取证:核心命令详解
"本文将详细介绍Volatility工具在内存取证中的常用命令,包括检查内存镜像信息、获取进程信息、提取进程、查看注册表、扫描文件、提取缓存文件、获取CMD历史输入、屏幕快照、用户账户信息以及网络连接状态等关键操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值