linux 内存取证_内存取证工具-volatility、foremost

最新推荐文章于 2024-06-12 23:33:27 发布
最新推荐文章于 2024-06-12 23:33:27 发布
阅读量906 收藏 1
点赞数 1
文章标签: linux 内存取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36436373/article/details/113013309
版权

内存取证

1. 内存取证工具volatility

猜测dump文件的profile值

root@kali:~/CTF# volatility -f mem.vmem imageinfo

Volatility Foundation Volatility Framework 2.6

INFO : volatility.debug : Determining profile based on KDBG search...

Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)

AS Layer1 : IA32PagedMemoryPae (Kernel AS)

AS Layer2 : FileAddressSpace (/root/CTF/mem.vmem)

PAE type : PAE

DTB : 0xb18000L

KDBG : 0x80546ae0L

Number of Processors : 1

Image Type (Service Pack) : 3

KPCR for CPU 0 : 0xffdff000L

KUSER_SHARED_DATA : 0xffdf0000L

Image date and time : 2016-05-03 04:41:19 UTC+0000

Image local date and time : 2016-05-03 12:41:19 +0800

root@kali:~/CTF#

看到,profile可能是WinXPSP2x86

直接获取volshell

shell的命令:

dt("内核关键数据结构名称"")

如: dt("_PEB")

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 volshell

Volatility Foundation Volatility Framework 2.6

Current context: System @ 0x821b9830, pid=4, ppid=0 DTB=0xb18000

Welcome to volshell! Current memory image is:

file:///root/CTF/mem.vmem

To get help, type 'hh()'

>>> dt("_PEB")

'_PEB' (528 bytes)

0x0 : InheritedAddressSpace ['unsigned char']

0x1 : ReadImageFileExecOptions ['unsigned char']

0x2 : BeingDebugged ['unsigned char']

0x3 : SpareBool ['unsigned char']

0x4 : Mutant ['pointer', ['void']]

0x8 : ImageBaseAddress ['pointer', ['void']]

0xc : Ldr ['pointer', ['_PEB_LDR_DATA']]

0x10 : ProcessParameters ['pointer', ['_RTL_USER_PROCESS_PARAMETERS']]

0x14 : SubSystemData ['pointer', ['void']]

0x18 : ProcessHeap ['pointer', ['void']]

0x1c : FastPebLock ['pointer', ['_RTL_CRITICAL_SECTION']]

0x20 : FastPebLockRoutine ['pointer', ['void']]

0x24 : FastPebUnlockRoutine ['pointer', ['void']]

0x28 : EnvironmentUpdateCount ['unsigned long']

0x2c : KernelCallbackTable ['pointer', ['void']]

0x30 : SystemReserved ['array', 1, ['unsigned long']]

0x34 : AtlThunkSListPtr32 ['unsigned long']

0x38 : FreeList ['pointer', ['_PEB_FREE_BLOCK']]

0x3c : TlsExpansionCounter ['unsigned long']

0x40 : TlsBitmap ['pointer', ['void']]

0x44 : TlsBitmapBits ['array', 2, ['unsigned long']]

0x4c : ReadOnlySharedMemoryBase ['pointer', ['void']]

0x50 : ReadOnlySharedMemoryHeap ['pointer', ['void']]

0x54 : ReadOnlyStaticServerData ['pointer', ['pointer', ['void']]]

0x58 : AnsiCodePageData ['pointer', ['void']]

0x5c : OemCodePageData ['pointer', ['void']]

0x60 : UnicodeCaseTableData ['pointer', ['void']]

0x64 : NumberOfProcessors ['unsigned long']

0x68 : NtGlobalFlag ['unsigned long']

0x70 : CriticalSectionTimeout ['_LARGE_INTEGER']

0x78 : HeapSegmentReserve ['unsigned long']

0x7c : HeapSegmentCommit ['unsigned long']

0x80 : HeapDeCommitTotalFreeThreshold ['unsigned long']

0x84 : HeapDeCommitFreeBlockThreshold ['unsigned long']

0x88 : NumberOfHeaps ['unsigned long']

0x8c : MaximumNumberOfHeaps ['unsigned long']

0x90 : ProcessHeaps ['pointer', ['array', at 0x7f88d57decf8>, ['pointer', ['_HEAP']]]]

0x94 : GdiSharedHandleTable ['pointer', ['void']]

0x98 : ProcessStarterHelper ['pointer', ['void']]

0x9c : GdiDCAttributeList ['unsigned long']

0xa0 : LoaderLock ['pointer', ['void']]

0xa4 : OSMajorVersion ['unsigned long']

0xa8 : OSMinorVersion ['unsigned long']

0xac : OSBuildNumber ['unsigned short']

0xae : OSCSDVersion ['unsigned short']

0xb0 : OSPlatformId ['unsigned long']

0xb4 : ImageSubsystem ['unsigned long']

0xb8 : ImageSubsystemMajorVersion ['unsigned long']

0xbc : ImageSubsystemMinorVersion ['unsigned long']

0xc0 : ImageProcessAffinityMask ['unsigned long']

0xc4 : GdiHandleBuffer ['array', 34, ['unsigned long']]

0x14c : PostProcessInitRoutine ['pointer', ['void']]

0x150 : TlsExpansionBitmap ['pointer', ['void']]

0x154 : TlsExpansionBitmapBits ['array', 32, ['unsigned long']]

0x1d4 : SessionId ['unsigned long']

0x1d8 : AppCompatFlags ['_ULARGE_INTEGER']

0x1e0 : AppCompatFlagsUser ['_ULARGE_INTEGER']

0x1e8 : pShimData ['pointer', ['void']]

0x1ec : AppCompatInfo ['pointer', ['void']]

0x1f0 : CSDVersion ['_UNICODE_STRING']

0x1f8 : ActivationContextData ['pointer', ['void']]

0x1fc : ProcessAssemblyStorageMap ['pointer', ['void']]

0x200 : SystemDefaultActivationContextData ['pointer', ['void']]

0x204 : SystemAssemblyStorageMap ['pointer', ['void']]

0x208 : MinimumStackCommit ['unsigned long']

>>>

查看进程:

root@kali:~/CTF#

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 pslist

Volatility Foundation Volatility Framework 2.6

Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit

---------- -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------

0x821b9830 System 4 0 62 253 ------ 0

0x81fb9210 smss.exe 552 4 3 19 ------ 0 2016-05-03 04:32:10 UTC+0000

0x81c14da0 csrss.exe 616 552 10 328 0 0 2016-05-03 04:32:12 UTC+0000

0x81f81880 winlogon.exe 640 552 18 449 0 0 2016-05-03 04:32:12 UTC+0000

0x8208fda0 services.exe 684 640 16 260 0 0 2016-05-03 04:32:12 UTC+0000

0x81c32b10 lsass.exe 696 640 18 333 0 0 2016-05-03 04:32:12 UTC+0000

0x820a19a0 vmacthlp.exe 852 684 1 25 0 0 2016-05-03 04:32:13 UTC+0000

0x81c30458 svchost.exe 864 684 18 201 0 0 2016-05-03 04:32:13 UTC+0000

0x81c67020 svchost.exe 948 684 11 238 0 0 2016-05-03 04:32:13 UTC+0000

0x81ce7da0 svchost.exe 1040 684 55 1103 0 0 2016-05-03 04:32:13 UTC+0000

0x81c25020 svchost.exe 1096 684 4 66 0 0 2016-05-03 04:32:13 UTC+0000

0x82002b28 svchost.exe 1256 684 13 194 0 0 2016-05-03 04:32:14 UTC+0000

0x81f6c988 explorer.exe 1464 1448 12 329 0 0 2016-05-03 04:32:14 UTC+0000

0x82085550 spoolsv.exe 1576 684 13 140 0 0 2016-05-03 04:32:14 UTC+0000

0x81f64560 vmtoolsd.exe 1712 1464 5 145 0 0 2016-05-03 04:32:15 UTC+0000

0x820a3528 ctfmon.exe 1736 1464 1 78 0 0 2016-05-03 04:32:15 UTC+0000

0x81f7d3c0 vmtoolsd.exe 2020 684 7 273 0 0 2016-05-03 04:32:23 UTC+0000

0x8207db28 TPAutoConnSvc.e 512 684 5 99 0 0 2016-05-03 04:32:25 UTC+0000

0x81c26da0 alg.exe 1212 684 6 105 0 0 2016-05-03 04:32:26 UTC+0000

0x81f715c0 wscntfy.exe 1392 1040 1 39 0 0 2016-05-03 04:32:26 UTC+0000

0x81e1f520 TPAutoConnect.e 1972 512 1 72 0 0 2016-05-03 04:32:26 UTC+0000

0x81f9d3e8 TrueCrypt.exe 2012 1464 2 139 0 0 2016-05-03 04:33:36 UTC+0000

root@kali:~/CTF#

查看缓存在内存的注册表

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 hivelist

Volatility Foundation Volatility Framework 2.6

Virtual Physical Name

---------- ---------- ----

0xe1e9f9d8 0x0bf169d8 \Device\HarddiskVolume1\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

0xe1cee5d0 0x0be075d0 \Device\HarddiskVolume1\Documents and Settings\Administrator\NTUSER.DAT

0xe1b99b60 0x0ae0ab60 \Device\HarddiskVolume1\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

0xe1b95008 0x0adc6008 \Device\HarddiskVolume1\Documents and Settings\LocalService\NTUSER.DAT

0xe1a7c2a8 0x0a76b2a8 \Device\HarddiskVolume1\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

0xe1a72b60 0x0a6e1b60 \Device\HarddiskVolume1\Documents and Settings\NetworkService\NTUSER.DAT

0xe146c398 0x084a3398 \Device\HarddiskVolume1\WINDOWS\system32\config\software

0xe1699758 0x08246758 \Device\HarddiskVolume1\WINDOWS\system32\config\default

0xe166faa8 0x05e7eaa8 \Device\HarddiskVolume1\WINDOWS\system32\config\SECURITY

0xe16aab60 0x082a6b60 \Device\HarddiskVolume1\WINDOWS\system32\config\SAM

0xe12e9008 0x02d7f008 [no name]

0xe1035b60 0x02b08b60 \Device\HarddiskVolume1\WINDOWS\system32\config\system

0xe102e008 0x02b02008 [no name]

root@kali:~/CTF#

hivedump 打印出注册表中的数据 :

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 hivedump -o 0xe16aab60

Volatility Foundation Volatility Framework 2.6

Last Written Key

2016-05-03 03:41:48 UTC+0000 \SAM

2016-05-03 03:41:48 UTC+0000 \SAM\SAM

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account

2016-05-03 03:50:51 UTC+0000 \SAM\SAM\Domains\Account\Aliases

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Aliases\000003E9

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Aliases\Members

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Aliases\Members\S-1-5-21-1844237615-1677128483-1801674531

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Aliases\Members\S-1-5-21-1844237615-1677128483-1801674531\000003EA

2016-05-03 03:50:51 UTC+0000 \SAM\SAM\Domains\Account\Aliases\Names

2016-05-03 03:50:51 UTC+0000 \SAM\SAM\Domains\Account\Aliases\Names\HelpServicesGroup

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Account\Groups

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Groups\00000201

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Account\Groups\Names

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Account\Groups\Names\None

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Users

2016-05-03 04:32:14 UTC+0000 \SAM\SAM\Domains\Account\Users\000001F4

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Account\Users\000001F5

2016-05-03 03:50:15 UTC+0000 \SAM\SAM\Domains\Account\Users\000003E8

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Users\000003EA

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Users\Names

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Account\Users\Names\Administrator

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Account\Users\Names\Guest

2016-05-03 03:50:15 UTC+0000 \SAM\SAM\Domains\Account\Users\Names\HelpAssistant

2016-05-03 03:51:02 UTC+0000 \SAM\SAM\Domains\Account\Users\Names\SUPPORT_388945a0

2016-05-03 03:42:51 UTC+0000 \SAM\SAM\Domains\Builtin

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\00000220

2016-05-03 03:42:51 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\00000221

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\00000222

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\00000223

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\00000227

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\00000228

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\0000022B

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\0000022C

2016-05-03 03:42:51 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Members

2016-05-03 03:42:51 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5

2016-05-03 03:42:51 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5\00000004

2016-05-03 03:42:51 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5\0000000B

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-1844237615-1677128483-1801674531

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-1844237615-1677128483-1801674531\000001F4

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-1844237615-1677128483-1801674531\000001F5

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names\Administrators

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names\Backup Operators

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names\Guests

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names\Network Configuration Operators

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names\Power Users

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names\Remote Desktop Users

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names\Replicator

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Aliases\Names\Users

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Groups

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Groups\Names

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Users

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\Domains\Builtin\Users\Names

2016-05-03 03:41:48 UTC+0000 \SAM\SAM\RXACT

root@kali:~/CTF#

获取SAM表中的用户

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"

Volatility Foundation Volatility Framework 2.6

Legend: (S) = Stable (V) = Volatile

----------------------------

Registry: \Device\HarddiskVolume1\WINDOWS\system32\config\SAM

Key name: Names (S)

Last updated: 2016-05-03 03:51:02 UTC+0000

Subkeys:

(S) Administrator

(S) Guest

(S) HelpAssistant

(S) SUPPORT_388945a0

Values:

REG_NONE : (S)

root@kali:~/CTF#

获取最后登录系统的账户

volatility -f mem.vmem –profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

提取出内存中记录的 当时正在运行的程序有哪些,运行过多少次,最后一次运行的时间等信息

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 userassist

Volatility Foundation Volatility Framework 2.6

----------------------------

Registry: \Device\HarddiskVolume1\Documents and Settings\Administrator\NTUSER.DAT

Path: Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Last updated: 2016-05-03 04:31:34 UTC+0000

Subkeys:

Values:

REG_BINARY UEME_CTLSESSION : Raw Data:

0x00000000 9c 27 8d 0e 01 00 00 00 .'......

REG_BINARY UEME_CTLCUACount:ctor :

ID: 1

Count: 2

Last updated: 1970-01-01 00:00:00 UTC+0000

Raw Data:

0x00000000 01 00 00 00 02 00 00 00 00 00 00 00 00 00 00 00 ................

REG_BINARY UEME_UITOOLBAR :

ID: 1

Count: 5

Last updated: 2016-05-03 04:31:34 UTC+0000

Raw Data:

0x00000000 01 00 00 00 0a 00 00 00 50 d4 8a ac f4 a4 d1 01 ........P.......

REG_BINARY UEME_UITOOLBAR:0x4,7031 :

ID: 1

Count: 3

Last updated: 2016-05-03 04:30:11 UTC+0000

Raw Data:

0x00000000 01 00 00 00 08 00 00 00 30 de 54 7b f4 a4 d1 01 ........0.T{....

REG_BINARY UEME_UITOOLBAR:0x1,120 :

ID: 1

Count: 2

Last updated: 2016-05-03 04:31:34 UTC+0000

Raw Data:

0x00000000 01 00 00 00 07 00 00 00 50 d4 8a ac f4 a4 d1 01 ........P.......

----------------------------

Registry: \Device\HarddiskVolume1\Documents and Settings\Administrator\NTUSER.DAT

Path: Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Last updated: 2016-05-03 04:33:36 UTC+0000

Subkeys:

Values:

REG_BINARY UEME_CTLSESSION : Raw Data:

0x00000000 7b 27 8d 0e 01 00 00 00 {'......

REG_BINARY UEME_RUNPIDL:%csidl2%\Windows Media Player.lnk :

ID: 1

Count: 14

Last updated: 2016-05-03 03:52:39 UTC+0000

Raw Data:

0x00000000 01 00 00 00 13 00 00 00 f0 b1 09 3d ef a4 d1 01 ...........=....

REG_BINARY UEME_RUNPIDL:%csidl2%\Windows Messenger.lnk :

ID: 1

Count: 13

Last updated: 2016-05-03 03:52:39 UTC+0000

Raw Data:

0x00000000 01 00 00 00 12 00 00 00 f0 b1 09 3d ef a4 d1 01 ...........=....

REG_BINARY U :

ID: 1

Count: 12

Last updated: 2016-05-03 03:52:39 UTC+0000

Raw Data:

0x00000000 01 00 00 00 11 00 00 00 f0 b1 09 3d ef a4 d1 01 ...........=....

REG_BINARY U :

ID: 1

Count: 11

Last updated: 2016-05-03 03:52:39 UTC+0000

Raw Data:

0x00000000 01 00 00 00 10 00 00 00 f0 b1 09 3d ef a4 d1 01 ...........=....

REG_BINARY UEME_CTLCUACount:ctor :

ID: 1

Count: 2

Last updated: 1970-01-01 00:00:00 UTC+0000

Raw Data:

0x00000000 01 00 00 00 02 00 00 00 00 00 00 00 00 00 00 00 ................

REG_BINARY UEME_RUNCPL :

ID: 1

Count: 1

Last updated: 2016-05-03 04:09:17 UTC+0000

Raw Data:

0x00000000 01 00 00 00 06 00 00 00 f0 cc 99 8f f1 a4 d1 01 ................

REG_BINARY UEME_RUNCPL:desk.cpl :

ID: 1

Count: 1

Last updated: 2016-05-03 04:09:17 UTC+0000

Raw Data:

0x00000000 01 00 00 00 06 00 00 00 f0 cc 99 8f f1 a4 d1 01 ................

REG_BINARY UEME_UISCUT :

ID: 1

Count: 8

Last updated: 2016-05-03 04:33:35 UTC+0000

Raw Data:

0x00000000 01 00 00 00 0d 00 00 00 20 a5 ec f4 f4 a4 d1 01 ................

REG_BINARY UEME_RUNPATH :

ID: 1

Count: 13

Last updated: 2016-05-03 04:33:36 UTC+0000

Raw Data:

0x00000000 01 00 00 00 12 00 00 00 70 53 2f f5 f4 a4 d1 01 ........pS/.....

REG_BINARY U :

ID: 1

Count: 1

Last updated: 2016-05-03 04:21:44 UTC+0000

Raw Data:

0x00000000 01 00 00 00 06 00 00 00 c0 18 b5 4c f3 a4 d1 01 ...........L....

REG_BINARY UEME_RUNPATH:TrueCrypt.lnk :

ID: 1

Count: 3

Last updated: 2016-05-03 04:33:35 UTC+0000

Raw Data:

0x00000000 01 00 00 00 08 00 00 00 10 ef ee f4 f4 a4 d1 01 ................

REG_BINARY UEME_RUNPATH:C:\Program Files\TrueCrypt\TrueCrypt.exe :

ID: 1

Count: 3

Last updated: 2016-05-03 04:33:36 UTC+0000

Raw Data:

0x00000000 01 00 00 00 08 00 00 00 70 53 2f f5 f4 a4 d1 01 ........pS/.....

REG_BINARY U :

ID: 1

Count: 1

Last updated: 2016-05-03 04:24:19 UTC+0000

Raw Data:

0x00000000 01 00 00 00 06 00 00 00 b0 70 51 a9 f3 a4 d1 01 .........pQ.....

REG_BINARY UEME_RUNPATH:C:\WINDOWS\system32\NOTEPAD.EXE :

ID: 1

Count: 5

Last updated: 2016-05-03 04:29:24 UTC+0000

Raw Data:

0x00000000 01 00 00 00 0a 00 00 00 b0 cb 4e 5f f4 a4 d1 01 ..........N_....

root@kali:~/CTF#

将内存中的某个进程数据以 dmp 的格式保存出来

root@kali:~/CTF# mkdir ctfmon

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p 1736 -D ctfmon/

Volatility Foundation Volatility Framework 2.6

************************************************************************

Writing ctfmon.exe [ 1736] to 1736.dmp

root@kali:~/CTF# ls

ctfmon mem.vmem suspicion

root@kali:~/CTF# cd ctfmon/

root@kali:~/CTF/ctfmon# ls

1736.dmp

root@kali:~/CTF/ctfmon#

后续可以使用16进制编辑器分析,或使用strings提取其中的字符串分析。

提取内存中保留的 cmd 命令使用情况 。

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 cmdscan

Volatility Foundation Volatility Framework 2.6

**************************************************

CommandProcess: csrss.exe Pid: 616

CommandHistory: 0x55cc00 Application: TPAutoConnect.exe Flags: Allocated

CommandCount: 0 LastAdded: -1 LastDisplayed: -1

FirstCommand: 0 CommandCountMax: 50

ProcessHandle: 0x628

Cmd #19 @ 0xe300f7: ??????????????????????????????????????????????????????????????

????'+7;GKW|??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

root@kali:~/CTF#

查看当时网络连接情况

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 netscan

Volatility Foundation Volatility Framework 2.6

ERROR : volatility.debug : This command does not support the profile WinXPSP2x86

root@kali:~/CTF#

获取 IE 浏览器的使用情况

volatility -f mem.vmem --profile=WinXPSP2x86 iehistory

获取内存中的系统密码

获取内存中的系统密码,我们可以使用 hashdump 将它提取出来 。

ubuntu@DESKTOP-RO316QM:/mnt/d$ volatility -f easy_dump.img --profile=Win7SP1x64 hashdump

Volatility Foundation Volatility Framework 2.6

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

n3k0:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

ubuntu@DESKTOP-RO316QM:/mnt/d$

或者:

volatility -f mem.vmem –profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 hivelist

Volatility Foundation Volatility Framework 2.6

Virtual Physical Name

---------- ---------- ----

0xe1e9f9d8 0x0bf169d8 \Device\HarddiskVolume1\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

0xe1cee5d0 0x0be075d0 \Device\HarddiskVolume1\Documents and Settings\Administrator\NTUSER.DAT

0xe1b99b60 0x0ae0ab60 \Device\HarddiskVolume1\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

0xe1b95008 0x0adc6008 \Device\HarddiskVolume1\Documents and Settings\LocalService\NTUSER.DAT

0xe1a7c2a8 0x0a76b2a8 \Device\HarddiskVolume1\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

0xe1a72b60 0x0a6e1b60 \Device\HarddiskVolume1\Documents and Settings\NetworkService\NTUSER.DAT

0xe146c398 0x084a3398 \Device\HarddiskVolume1\WINDOWS\system32\config\software

0xe1699758 0x08246758 \Device\HarddiskVolume1\WINDOWS\system32\config\default

0xe166faa8 0x05e7eaa8 \Device\HarddiskVolume1\WINDOWS\system32\config\SECURITY

0xe16aab60 0x082a6b60 \Device\HarddiskVolume1\WINDOWS\system32\config\SAM

0xe12e9008 0x02d7f008 [no name]

0xe1035b60 0x02b08b60 \Device\HarddiskVolume1\WINDOWS\system32\config\system

0xe102e008 0x02b02008 [no name]

root@kali:~/CTF#

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60

Volatility Foundation Volatility Framework 2.6

timeliner

最大程度上将内存中的信息提取出来,那么你可以使用 timeliner 这个插件。它会从多个位置来收集系统的活动信息

volatility -f mem.vmem –profile=WinXPSP2x86 timeliner

查找镜像中的文件

ubuntu@DESKTOP-RO316QM:/mnt/d$ volatility -f easy_dump.img --profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gif'

Volatility Foundation Volatility Framework 2.6

0x000000002408c460 32 0 RW---- \Device\HarddiskVolume1\phos.jpg

ubuntu@DESKTOP-RO316QM:/mnt/d$

Linux下命令

可以通过linux_route_cache参数查看路由表情况

使用linux_lsof命令查看1517和27157进程相关的文件

使用linux_netstat查看网络链接情况。

使用linux_psaux检查进程详细信息

使用linux_proc_maps参数,可以查看进程细节包括共享库、开始和结束的位置等信息

使用linux_find_file查看可疑文件的位置

Processes

linux_pslist

linux_psaux

linux_pstree

linux_pslist_cache

linux_pidhashtable

linux_psxview

linux_lsof

Process Memory

linux_memmap

linux_proc_maps

linux_dump_map

linux_bash

Kernel Memory and Objects

linux_lsmod

linux_moddump

linux_tmpfs

Rootkit Detection

linux_check_afinfo

linux_check_tty

linux_keyboard_notifier

linux_check_creds

linux_check_fop

linux_check_idt

linux_check_syscall

linux_check_modules

linux_check_creds

Networking

linux_arp

linux_ifconfig

linux_route_cache

linux_netstat

linux_pkt_queues

linux_sk_buff_cache

System Information

linux_cpuinfo

linux_dmesg

linux_iomem

linux_slabinfo

linux_mount

linux_mount_cache

linux_dentry_cache

linux_find_file

linux_vma_cache

Miscellaneous

linux_volshell

linux_yarascan

2. foremost

Foremost是基于文件开始格式,文件结束标志和内部数据结构进行恢复文件的程序。

foremost命令参数英文中文说明:

$ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t ] [-s ] [-k ]

[-b ] [-c ] [-o ] [-i

-V - 显示版权信息并退出

-t - 指定文件类型. (-t jpeg,pdf ...)

-d -打开间接块检测 (针对UNIX文件系统)

-i - 指定输入文件 (默认为标准输入)

-a - 写入所有的文件头部, 不执行错误检测(损坏文件)

-w - 向磁盘写入审计文件,不写入任何检测到的文件

-o - 设置输出目录 (默认为为输出)

-c - 设置配置文件 (默认为 foremost.conf)

-q - 启用快速模式. 在512字节边界执行搜索.

-Q - 启用安静模式. 禁用输出消息.

-v - 详细模式. 向屏幕上记录所有消息。

foremost 扫描误删文件

如果误删一个png文件,可以 foremost -t png -i /dev/sda1

恢复内存中dump出的文件

先用volatility提取出对应pid的进程的数据,然后foremost 2616.dump

3. binwalk

递归提取 binwalk -Me firmware.bin

自动化(自动)提取 binwalk -e firmware.bin

https://www.freebuf.com/column/152545.html

https://www.freebuf.com/articles/system/26763.html

https://www.freebuf.com/articles/rookie/145262.html

https://bbs.ichunqiu.com/thread-46827-1-1.html

潘儒锋
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Electron理论知识 3 - 专业名词解释
liuzhen007的专栏
05-26 950
名词解释 1.MMCSS(Multimedia Class Scheduler Service) 多媒体类调度服务,用来获取不同线程的优先级。
Electron理论知识 7 - 技术架构综述
liuzhen007的专栏
08-17 1208
主要负责客户端方面的相关工作,包括桌面端和移动端,比如用纯 C++ 开发的视频转码工具 Eos PC 版、原生的 Android 和 iOS 的云端课堂以及最近使用的开源框架 Electron 开发桌面端视频会议。不管是移动端,还是 PC 端,跨平台框架是今后的大趋势,也是技术探索与科学发展的试金石。今天重点介绍一下跨平台开源的框架 Electron。PS:《Electron实战》系列-总览。
取证工具volatility的下载、使用
最新发布
ndjnddjxn的博客
06-12 1336
Volatility可以还原系统崩溃或重启前的运行状态,包括进程、网络连接、文件操作等,为取证人员提供重要的线索。:Volatility可以分析被恶意软件感染的系统内存,帮助取证人员识别恶意软件的行为、进程和可能的隐藏技术。:通过内存取证Volatility可能能够获取到用户输入到系统中的密码信息,这有助于在取证过程中破解密码。你运行命令的时候可能是你正在尝试使用Python 2的语法来运行一个期望Python 3语法的。的内存镜像文件进行分析,并导出进程ID为1234的进程的内存内容到。
linux监控内存工具,Linux内存取证工具Volatility的使用
weixin_36381298的博客
04-30 476
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
Electron理论知识 12 - 快速了解Electron的身世
liuzhen007的专栏
04-04 1194
Electron 使用 JavaScript,HTML 和 CSS 构建跨平台的桌面应用程序的开源架构 1. Web技术 Electron 基于 Chromium 和 Node.js, 让你可以使用前端技术构建应用。 2. 开源 Electron 是一个由 GitHub 及众多贡献者组成的活跃社区共同维护的开源项目。 3. 跨平台 Electron 兼容 Mac、Windows 和 Li...
linux 内存取证_Linux内存取证工具Volatility的使用
weixin_39925813的博客
01-17 720
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
volatility取证
sechelper的博客
12-07 1571
vil取证,常用命令合集,11道实践案例,CTF相关
浅析内存取证
Lemon's blog
10-16 8356
前言: MISC经常遇到取证分析的,而且在实战中系统取证也是非常重要的,利用这段时间学习一下。 什么是活取证 在主机存活时发现系统被入侵,然后直接把机器的运行内存dump下来,对运行内存进行分析,还原一些进程的中的信息。 主要工作便是 抓取文件metadata 创建时间线 命令历史 分析日志文件 哈希摘要 转存内存信息等 什么是死取证 对机器的磁盘做镜像之后进行分析,在关机后制作硬盘镜像,分析镜像(MBR硬盘分区,GPT全局分区表,LVM逻辑卷)是否存在病毒,木马等恶意程序。 不管是那种取证方式
ctf 内存取证的一些命令
舞动的獾
11-12 8121
内存取证 相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件 常用命令 在kali下用工具volatility 查看系统信息 volatility -f mem.raw imageinfo 如下显示的系统都有可能,可以一个个的试试 查看运行程序列表 volatility -f mem.raw --profile=Win7SP1x64 pslist ...
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 6682
护网杯2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
foremost-master.zip
12-14
"foremost-master.zip" 是一个压缩包文件,包含了一个名为 "foremost-master" 的项目或工具。这个工具在CTF(Capture The Flag)竞赛中被广泛使用,CTF是一种网络安全竞技活动,参与者通过解决各种安全问题来攻防...
Electron理论知识 17 - 关于 Electron 多进程管理的一些感悟
liuzhen007的专栏
12-22 1330
Electron 是一个多进程架构的跨平台桌面客户端的开源方案,进程种类很多。Electron 是可以非常方便的管理不同类型进程的,比如主进程、渲染进程、子进程。
Linux】gdb工具使用
holle_world_ldx的博客
08-23 425
gdb工具使用
Volatility使用笔记
yyk82p的博客
12-19 1483
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态
解决 volatility ERROR: volatility.debug: The requested file doesn‘t exist 问题
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-16 993
之前没有这种情况,开始还特意检查了一下是不是文件名写错了,但是发现没有写错,后面找了一下资料。这样就可以了,具体原因我也不知道是什么,看别人说是 bug。把内存镜像的位置换成绝对路径。
[V&N2020 公开赛]内存取证
volcano的博客
04-08 4802
题目地址: https://buuoj.cn/challenges#[V&N2020 公开赛]内存取证 这题用到的内存取证分析工具Volatility 关于这个工具的具体命令非常多,可以在官方页面仔细看看 解题 先下载上面的附件,这种raw文件是内存取证工具Dumpit提取内存生成的内存转储文件。 ...
android内存取证实现,[内存取证]Volatility基本用法
weixin_33240360的博客
06-02 413
volatility -f memory imageinfo #查看系统版本Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418A...
BuuCTF难题详解| Misc | [HDCTF2019]你能发现什么蛛丝马迹吗
pone2233的博客
12-15 1754
题目介绍 这道题目,是一道非常典型的内存取证的题目,相信会了这道题目,大家会对内存取证更加喜欢。 [HDCTF2019]你能发现什么蛛丝马迹吗 下载文件一看就是一个内存取证的题目,我们先看看版本 :volatility.exe -f memory.img imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG sear
volatility 下载
01-13
Volatility 是一款用于数字取证和线下广告分析的开源框架。它被广泛用于分析恶意软件和黑客活动,以获取有关计算机系统和网络的信息。Volatility 可以分析内存转储文件,以便恢复已删除的信息、查找潜在的入侵痕迹,并确定系统中运行的进程和服务。这个工具对于研究人员和调查人员来说非常有用,可以帮助他们理解和解决各种安全威胁。 要下载 Volatility,可以访问其官方网站或在 GitHub 上找到正确的下载链接。根据自己的操作系统和需求,选择适当的版本进行下载。一旦下载完成,解压缩文件并按照提供的文档和说明进行安装和配置。 Volatility 需要一些额外的工具和库来正常运行,如 Python 和相关的依赖项。确保系统中已安装这些必要的组件,以免出现任何运行时错误。当所有配置都完成后,即可开始使用 Volatility 进行内存分析。 通过命令行或脚本,使用 Volatility 启动内存分析。通过指定正确的参数和选项,可以运行各种分析插件和脚本,以获取所需的结果。这些结果可以是进程列表、网络连接、注册表项、文件列表等。分析结果可以导出为文本、CSV 或 HTML 格式,以供进一步的处理和研究。 总之,Volatility 是一个功能强大且广泛使用的数字取证和广告分析工具。下载并正确安装它后,你可以使用其内置的分析插件来研究计算机系统的内存转储,并得出有关系统状态和安全威胁的有价值信息。它对于提高数字安全和解决安全问题的能力非常有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值