内存取证之volatility常用命令

最新推荐文章于 2024-04-11 05:31:15 发布
最新推荐文章于 2024-04-11 05:31:15 发布
阅读量817 收藏 3
点赞数 20
分类专栏: 内存取证 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shshshsh_/article/details/134316244
版权

1.获取操作系统信息

volatility -f win7.vmem imageinfo

2.查看进程信息

volatility -f win7.vmem --profile=Win7SP1x86_23418 pslist

volatility -f win7.vmem --profile=Win7SP1x86_23418 psscan

volatility -f win7.vmem --profile=Win7SP1x86_23418 pstree


3.查看文件

volatility -f win7.vmem --profile=Win7SP1x86_23418 filescan

4.查看剪切板

volatility -f win7.vmem --profile=Win7SP1x86_23418 clipboard

5.查看记事本

volatility -f win7.vmem --profile=Win7SP1x86_23418 editbox

volatility -f win7.vmem --profile=Win7SP1x86_23418 notepad

6.查看用户和加密密码

volatility -f win7.vmem --profile=Win7SP1x86_23418 hashdump

7.查看强密码

volatility -f win7.vmem --profile=Win7SP1x86_23418 lsadump

8.提取进程

volatility -f win7.vmem --profile=Win7SP1x86_23418 memdump -p {pid} -D 下载地址

9.提取文件

volatility -f win7.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007ffce508 -D 地址

10.查看cmd记录

volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdscan

volatility -f win7.vmem --profile=Win7SP1x86_23418 cmdline

11.查看服务

volatility -f win7.vmem --profile=Win7SP1x86_23418 svcscan

12.查看浏览器记录

volatility -f win7.vmem --profile=Win7SP1x86_23418 iehistory

13.查看注册表

volatility -f win7.vmem --profile=Win7SP1x86_23418 hivelist

14.查看键名

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8b15d9c8 printkey

15.查看用户名

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8b15d9c8 -K "SAM\Domains\Account\Users\Names" printkey

16.查看主机名

volatility -f win7.vmem --profile=Win7SP1x86_23418 -o 0x8a81a188 -K "ControlSet001\Control\ComputerName\ComputerName" printkey

17.查看用户SID

volatility -f win7.vmem --profile=Win7SP1x86_23418 getsids

18.查看网络连接

volatility -f win7.vmem --profile=Win7SP1x86_23418 netscan

volatility -f win7.vmem --profile=Win7SP1x86_23418 connscan

这里说一下,命令我没有一个个去验证有可能极个别出现错误,请联系我更改。

愿与诸君共勉之!

我会随风而动
关注
  • 20
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windowsvolatility3-2.7.0内存取证工具安装及遇到的问题解决方法
weixin_44697846的博客
06-02 1630
windowsvolatility3-2.7.0内存取证工具安装及问题解决方法
Volatility工具使用详解&&做题
weixin_48876267的博客
09-20 1518
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility常用的命令
菜菜的博客
09-30 2253
Volatility是一款开源的内存取证分析工具,支持WindowsLinux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3370
内存取证神器Volatility常用指令大全
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 2319
南华城里月如昼,十二玉楼非吾乡
VolatilityWindows有关的插件功能说明
dmbjzhh的专栏
03-02 5927
Windows Core镜像识别插件:imageinfo:显示目标镜像的摘要信息kdbgscan:kernel debugger block,KDBG是由Windows内核维护的用于调试目的的结构。它包含正在运行的进程和加载的内核模块的列表。它还包含一些版本信息,可让您确定内存转储是否来自Windows XP系统与Windows 7,安装了哪个Service Pack以及内存模型(32位与64位)...
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从WindowsLinux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
volatility内存取证命令合集
01-10
标题中的“Volatility内存取证命令合集”指向了这是一份关于Volatility框架的详细指令列表。Volatility是一个开源内存取证框架,它允许安全分析人员在运行中的计算机系统上提取、分析和调查内存中的数据。这些数据...
取证小TIPS
wuwuliuliu0524的博客
04-30 1139
1、SID 安全标识符 SecurityIdentifier 是标识用户、组和计算机帐户的唯一的号码 查看自己的SID,win+R,输入whoami /user S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx 挺长的还,最后一位是RID 应用调用SID有其用户 eg.请找出登录系统中的用户的SID号,就是下面这个喽 2、.dd内存镜像取证时,用volatility和美亚-工具集-内存镜像解析工具 volatility.
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 7221
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持WindowsLinux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
内存取证(仅个人思路)
旺仔Sec&blog
11-23 4293
volatility -f test2.raw imageinfo 获取镜像详细信息 profile参数很重要 volatility -f test2.raw --profile=Win7SP1x64 hashdump 获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解 如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码 还有一种是 lsadump 能出来断断续续的密码 不是完整的 ...
内存取证neicun.vmem (上一期整理了工具的用法,那么这一期我们来一把实战!)
qq_56025677的博客
02-25 671
打开第一个文件 .png的文件头89504E47 第二个文件打开发现没有明确是什么文件翻到文件结尾部分发现好像是png文件的尾部,所有猜测这两个可能是一张图片的内容 合并后果然得到了flag。可以把进程导出来,注册的服务器一般是需要开启的,开启的关键字是start,直接收缩start就能出来。5、从内存文件中获取黑客进入系统后下载的flag文件,将文件中的值作为Flag值提交。3、当前系统中存在的挖矿进程,请获取指向的矿池地址,以Flag{ip}形式提交。
volatility取证
sechelper的博客
12-07 1561
vil取证常用命令合集,11道实践案例,CTF相关
内存取证工具 -- Volatility工具使用_volatility下载,2024年最新最新网络安全高级面试题汇
最新发布
2401_84253850的博客
04-11 728
volatility -f 文件 --profile=Win7SP1x64 -o 内存地址 printkey//查看当前内存镜像中的用户volatility -f 文件 --profile=Win7SP1x64 -o 内存地址 printkey -K “SAM\Domains\Account\Users\Names”volatility -f 文件 --profile=Win7SP1x64 userassist。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值