使用命令:Volatility -f<文件名> --profile=<配置文件><插件>[插件参数]
一般思路步骤
- 列举进程 查找需要的信息
- Volatility -f name --profile=Winxpap2x86 pslist
- 创建文件夹 把需要保存的文件提取
将内存中的某个进程数据以dup的格式保存出来
volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]
- mkdir ctf
- volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p 1464 -D ctf/
- 使用EFDD将获取的key(dump的文件)和破解文件结合得到flag
二般思路步骤
- 老规矩查看内存文件的信息 imageinfo
- 得到配置文件后,进行查询:查看开放端口以及连接情况 netscan、查看系统注册表(获取主机名、IP地址等)hivelist、都注册表信息printkey
- 查看剪切板中的信息(获取复制剪切内容)clipboard
- 查看进程信息 plist 包括正在运行的 暂停运行的会在后面显示展厅时间、显示隐藏/终止的进程 psscan、把进程以树的形式显示pstree 与o保存
- 查看dll文件(但发现可疑进程,可进行深入探究) dlllist -p[PID]
- 查看ie历史 iehistory
- Filescan 或者和grep使用查找需要的文件 然后n保存
- Cmdscan
- 查看进程命令行参数(具体一些可疑进程的参数指令)cmdline
- 查看notepad文件(在pslist中查看进程中的notepad.exe.中的内容) notepad
- 有时候得到信息不一定就是他,毕竟老套娃了 我们可能需要获取密码 hash hashdum
- 保存文件dmp
- 回到注册表,打印对应的表的数据 hivedump -o 虚拟地址
- filescan文件 然后转储内存中的文件 打印出filescan出来的文件 dumpfiles -q 偏移地址 -D路径
- Pslist查看进程 可以转储内存中的进程的exe文件 procdump -p -D路径
常用命令
volatility -f name imageinfo 查看文件/内存镜像的信息 比如系统版本、硬件构架等
Volatility --info 查看已添加profile和插件信息
volatility -f example.raw --profile=Win7SP1x64 filescan | grep -E'txt|png|jpg|gif|zip|rar|7z|pdf|doc' 扫描文件
volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User #搜索指定文件夹下的文件
volatility -f zy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x2456028 --dump-dir=./ 使用dumpfiles提取文件 -Q的参数为 内存地址--dump-dir的参数为导出文件的目录
Volatility -f name --profile=?? Volshell 包含许多shell命令 其中 例如dt(“_PEB”)
Volatility -f name --profile=Winxpap2x86 hivelist 列举缓存在内存的注册表
Volatility -f name --profile=Winxpap2x86 hivedump -o 注册表的virtual地址 打印出注册表