内存取证之volatility常用命令

最新推荐文章于 2024-03-26 10:44:42 发布
最新推荐文章于 2024-03-26 10:44:42 发布
阅读量743 收藏 2
点赞数 19
分类专栏: 内存取证 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shshshsh_/article/details/134316244
版权

1.获取操作系统信息

volatility -f win7.vmem imageinfo

2.查看进程信息

volatility -f win7.vmem --profile=Win7SP1x86_23418 pslist

volatility -f win7.vmem --profile=Win7SP1x86_23418 psscan

volatility -f win7.vmem --profile=Win7SP1x86_23418 pstree


3.查看文件

volatility -f win7.vmem --profile=Win7SP1x86_23418 filescan

4.查看剪切板

volatility -f win7.vmem --profile=Win7SP1x86_23418 clipboard

5.查看记事本

volatility -f win7.vmem --profile=Win7SP1x86_23418 editbox

volatility -f win7.vmem --profile=Win7SP1x86_23418 notepad

6.查看用户和加密密码

volatility -f win7.vmem --profile=Win7SP1x86_23418 hashdump

7.查看强密码

volatility -f win7.vmem --profile=Win7SP1x86_23418 lsadump

8.提取进程

volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址

9.提取文件

volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址

10.查看cmd记录

volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdscan

volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdline

11.查看服务

volatility -f win7.vmem --profile=Win7SP1x86_23418 svcscan

12.查看浏览器记录

volatility -f win7.vmem --profile=Win7SP1x86_23418 iehistory

13.查看注册表

volatility -f win7.vmem --profile=Win7SP1x86_23418 hivelist

14.查看键名

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8b15d9c8 printkey

15.查看用户名

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8b15d9c8 -K "SAM\Domains\Account\Users\Names" printkey

16.查看主机名

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control\ComputerName\ComputerName" printkey

17.查看用户SID

volatility -f win7.vmem --profile=Win7SP1x86_23418 getsids

18.查看网络连接

volatility -f win7.vmem --profile=Win7SP1x86_23418 netscan

volatility -f win7.vmem --profile=Win7SP1x86_23418 connscan

这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。

愿与诸君共勉之!

我会随风而动
关注
  • 19
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内存取证 volatility
07-12
内存取证 volatility
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
windows安装Volatility3
最新发布
weixin_74062643的博客
03-26 672
windows安装Volatility3
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
volatility常用的命令
菜菜的博客
09-30 2208
Volatility是一款开源的内存取证分析工具,支持WindowsLinux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3297
内存取证神器Volatility常用指令大全
VolatilityWindows有关的插件功能说明
dmbjzhh的专栏
03-02 5838
Windows Core镜像识别插件:imageinfo:显示目标镜像的摘要信息kdbgscan:kernel debugger block,KDBG是由Windows内核维护的用于调试目的的结构。它包含正在运行的进程和加载的内核模块的列表。它还包含一些版本信息,可让您确定内存转储是否来自Windows XP系统与Windows 7,安装了哪个Service Pack以及内存模型(32位与64位)...
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
取证小TIPS
wuwuliuliu0524的博客
04-30 975
1、SID 安全标识符 SecurityIdentifier 是标识用户、组和计算机帐户的唯一的号码 查看自己的SID,win+R,输入whoami /user S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx 挺长的还,最后一位是RID 应用调用SID有其用户 eg.请找出登录系统中的用户的SID号,就是下面这个喽 2、.dd内存镜像取证时,用volatility和美亚-工具集-内存镜像解析工具 volatility.
电子取证--windows下的volatility分析与讲解
LCW991207的博客
12-04 953
CTF--电子取证--windows下的volatility分析与讲解。
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 1万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持WindowsLinux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
内存取证 | Volatility使用手册
hackzkaq的博客
02-01 622
镜像文件。
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2064
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
windows下的volatility内存取证分析与讲解
cuihua的博客
04-03 7706
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 5673
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持WindowsLinux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
内存取证(仅个人思路)
旺仔Sec&blog
11-23 4245
volatility -f test2.raw imageinfo 获取镜像详细信息 profile参数很重要 volatility -f test2.raw --profile=Win7SP1x64 hashdump 获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解 如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码 还有一种是 lsadump 能出来断断续续的密码 不是完整的 ...
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,需要了解Windows 2003操作系统的内存管理机制和数据结构。这样可以更好地理解内存中存储的数据的结构和格式,有助于提取和解释相关证据。例如,Windows 2003使用的是物理内存和虚拟内存的管理方式,需要理解这两种内存的分配与释放机制。 此外,还需要注意在进行内存取证时可能遇到的一些挑战和限制。例如,Windows 2003在32位系统上的内存限制为4GB,如果目标系统中的内存大于4GB,可能需要采取特殊的处理方式。另外,操作系统的版本和补丁等也会影响内存数据的分析和提取。 最后,进行内存取证时需要保持数据的完整性和可靠性,确保所提取的证据在法庭上具有可信度。因此,需要采用专业的取证工具和方法,并遵循取证规范和程序进行操作,记录下相关的过程和操作步骤。 综上所述,Windows 2003内存取证是通过分析和提取内存数据来获取相关证据的过程,需要借助专门的工具和技术,同时需要了解操作系统的内存管理机制和数据结构,保证数据的完整性和可靠性。这一过程在数字取证领域具有重要的应用价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值