内存取证_内存取证(volatility)

最新推荐文章于 2024-08-05 11:12:41 发布
最新推荐文章于 2024-08-05 11:12:41 发布
阅读量1.8k 收藏 6
点赞数 1
文章标签: 内存取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39866419/article/details/112579479
版权
本文介绍了使用Volatility工具进行内存取证的详细步骤,包括查看进程、隐藏进程、导出特定进程及其相关文件、分析DLL库、检查网络连接、获取用户哈希、列举注册表、查看CMD历史、获取主机名、版本信息以及服务状态,同时涵盖了IE浏览器记录和桌面窗口信息的调查。
摘要由CSDN通过智能技术生成

首先第一步,取证大师打开,工具集,内存镜像解析工具,打开镜像

Cmd打开volatility

1、查看内存镜像的基本信息 
volatility.exe -f victor_PC_memdump.dmp imageinf

778fde8721e41223f07385a746ef3e63.png

2、查看进程

       PID是进程号

       PPID是父进程号

volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 pslist

b5c51a1170dc40d138807d141de7ffec.png

System的运行时间就是开机时间,这里还可能会问进程数量,粘贴复制进去notpead++看行数

3、查看隐藏进程

volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 psxview

4、导出对应进程号为2364的相关进程

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 memdump -p 2364 -D C:\Users\18267\Desktop

    导出对应进程号为2364的相关exe程序

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 procdump -p 2364 -D C:\Users\18267\Desktop

5、查看该exe文件运行时调用的所有dll库

volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 dlllist -p 2364

6、查看网络连接状态,可以查看ip等

volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 netscan

7、导出用户的hash

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 hashdump

    爆破得到密码

fdba93a7784edebddbc5af2f9996eebe.png

8、列出注册表

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 hivelist

bdb1cbc83aab1c653cc9966c01429c77.png

9、查看cmd记录

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 cmdscanvolatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 cmdline

19f42d113e2a6a1b3a3e4327644d28c7.png

10、在注册表中查看主机名:

-o system的虚拟地址 printkey -K“ControlSet001\Control\ComputerName\ComputerName”

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

fd1d4ce48cbd9f7da10a6acf4528dbe6.png

注意:一定要注意\,不能写成/

11、查看版本信息

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000a55010 printkey -K "( Wow6432Node)\Microsoft\Windows NT\CurrentVersion"

3d3cf0afa29570408158e7e0a868111f.png

12、导出注册表文件

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 dumpregistry --dump-dir=C:\Users\18267\Desktop\2

13、-Q之后的地址是文件偏移量

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 dumpfiles -Q 0x000000007ebe4ad0 --dump-dir=C:\Users\18267\Desktop\2

14、查看用户的SID

        导出注册表文件

        两种方法:

            1.查看SAM

            2.查看SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

15、查看服务开启与否

                              使用内存镜像解析工具

16、查看ie浏览器记录

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 iehistory

9da2b87e92c6a8df4badd5381f1de414.png

e2dc2b46b878e368458b4b1b896168cf.png

17、notepad:查看记事本当前显示的文本(This command does not support the profile Win7SP1x64)

好了,用不了

18、打印桌面窗口的详细信息

volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 windows
     ▼ 更多精彩推荐,请关注我们 ▼

d32578989feabe5a99c485e19cc9f151.png

weixin_39866419
关注
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1241
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
内存取证Volatility
2301_76871571的博客
03-10 571
职业技能大赛赛前训练 训练平台——合天网安实验室
渗透测试内存取证
最新发布
Zgnb173659的博客
08-05 1212
内存取证是指通过分析计算机系统的内存(RAM)来获取有关系统运行状态、用户活动和执行过程的信息。内存取证通常用于数字取证领域,旨在收集关键的计算机数据,以便分析和研究可能发生的安全事件、恶意软件活动或其他计算机相关事件。
内存取证-volattlity
5L2g556F5ZWl77yf
09-30 5603
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/archive/p/volatility/ 安装: kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v
Linux基础命令
weixin_47397805的博客
01-08 234
1.查看当前目录下的所有文件和目录 2.查询当前目录下的隐藏文件 3.进入根目录 4.查看内存 5.查看磁盘信息 6.查看当前所在的位置 7.创建目录(新增 8.删除目录 9.创建文件 10.查看指定的进程 11.查看指定的端口号 12.查看CPU 13.查看ip 14.查看网络 ...
volatility内存取证
wha1e的博客
02-07 8974
取证在CTF中占比越来越大,甚至某些比赛中misc全是取证。在之前的比赛中wha1e表示束手无策很难受,所以乘着实习摸鱼期间学习了一下。
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
volatility_2.6_win64system_standalone.rar
10-08
1. volatility_2.6_win64_standalone.exe:这是Volatility 2.6的Windows 64位独立运行版本,用户可以直接运行进行内存分析,无需安装。 2. README.txt:通常,这个文件包含了关于如何使用工具的基本指南,包括安装、...
Volatility内存取证使用
qq_42947816的博客
08-05 6204
1.背景 本文主要使用Dumpit及Volatility对计算机进行取证,对内存文件进行分析,获取内存重要信息, 还原攻击。 2.内存镜像Dumpit 2.1 简介 Dumpit是用于生成Windows机器的物理内存转储,可运行在32位/64位系统中,可完美地部署在USB闪存盘上,快速响应事件。 2.2 下载链接 下载链接:https://github.com/thimbleweed/All-In-USB/tree/master/utilities/DumpIt 2.3 Dumpit使用 1.将软件拷贝到需
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证volatility工具命令详解
Y525698136的博客
01-04 2623
内存取证volatility工具命令详解
内存取证
人饭子的博客
10-30 1361
内存取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取重要信息。 相关文章 计算机内存取证技术 数字取证-死活取证 Linux Forensics Series Chapter 1 — Memory Forensics 使用工具进...
rekall内存分析演示
weixin_33804582的博客
05-20 525
http://memory-analysis.rekall-forensic.com/www/TOC/ ...
linux取证内存取证
NFMSR的博客
07-19 2859
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
内存取证篇】内存取证工具-DumpIt
蘇小沐的电子数据取证博客
11-29 7858
内存取证篇】内存取证工具-DumpIt DumpIt内存取证小工具,小体积大用途,一步制作计算机内存镜像—【suy】 一、DumpIt特点 1、用于生成Windows计算机的物理内存转储 运行环境:32位、64位计算机。 2、原始内存转储在当前目录中生成 镜像保存路径:DumpIt软件所在位置,启动前仅提示确认问题。 3、便携性 便携性:可完美地部署在USB闪存盘上,快速响应事件。 二、DumpIt运行界面 双击软件即可运行,输入“y”,即开始制作当前机器的内存镜像内存镜像默认保存在“DumpIt软
Volatility内存取证:核心命令详解
"本文将详细介绍Volatility工具在内存取证中的常用命令,包括检查内存镜像信息、获取进程信息、提取进程、查看注册表、扫描文件、提取缓存文件、获取CMD历史输入、屏幕快照、用户账户信息以及网络连接状态等关键操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值