volatility命令使用 misc部分取证解题(部分内存取证)

已于 2022-09-22 08:38:58 修改
阅读量3.6k 收藏 17
点赞数 2
分类专栏: misc 取证 volatility 文章标签: java linux 开发语言
于 2021-07-13 13:38:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45791884/article/details/118698117
版权

使用命令:Volatility -f<文件名> --profile=<配置文件><插件>[插件参数]

一般思路步骤

  • 列举进程 查找需要的信息
  • Volatility -f name --profile=Winxpap2x86  pslist
  • 创建文件夹 把需要保存的文件提取

将内存中的某个进程数据以dup的格式保存出来

volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]

  •  mkdir ctf
  • volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p 1464 -D ctf/
  • 使用EFDD将获取的key(dump的文件)和破解文件结合得到flag

二般思路步骤

  1. 老规矩查看内存文件的信息 imageinfo
  2. 得到配置文件后,进行查询:查看开放端口以及连接情况 netscan、查看系统注册表(获取主机名、IP地址等)hivelist、都注册表信息printkey
  3. 查看剪切板中的信息(获取复制剪切内容)clipboard
  4. 查看进程信息 plist 包括正在运行的 暂停运行的会在后面显示展厅时间、显示隐藏/终止的进程 psscan、把进程以树的形式显示pstree 与o保存
  5. 查看dll文件(但发现可疑进程,可进行深入探究) dlllist -p[PID]
  6. 查看ie历史 iehistory
  7. Filescan 或者和grep使用查找需要的文件 然后n保存
  8. Cmdscan
  9. 查看进程命令行参数(具体一些可疑进程的参数指令)cmdline
  10. 查看notepad文件(在pslist中查看进程中的notepad.exe.中的内容) notepad
  11. 有时候得到信息不一定就是他,毕竟老套娃了 我们可能需要获取密码 hash  hashdum
  12. 保存文件dmp
  13. 回到注册表,打印对应的表的数据 hivedump -o 虚拟地址
  14. filescan文件 然后转储内存中的文件 打印出filescan出来的文件 dumpfiles -q 偏移地址 -D路径
  15. Pslist查看进程 可以转储内存中的进程的exe文件 procdump -p -D路径

常用命令

volatility -f name imageinfo  查看文件/内存镜像的信息 比如系统版本、硬件构架等

Volatility --info                       查看已添加profile和插件信息

volatility -f example.raw --profile=Win7SP1x64 filescan | grep -E'txt|png|jpg|gif|zip|rar|7z|pdf|doc'               扫描文件

volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User                                             #搜索指定文件夹下的文件

volatility -f zy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x2456028 --dump-dir=./           使用dumpfiles提取文件 -Q的参数为 内存地址--dump-dir的参数为导出文件的目录

Volatility -f name --profile=?? Volshell  包含许多shell命令 其中  例如dt(“_PEB”)

Volatility -f name --profile=Winxpap2x86  hivelist 列举缓存在内存的注册表

Volatility -f name --profile=Winxpap2x86 hivedump -o 注册表的virtual地址              打印出注册表

最低0.47元/天 解锁文章
uiless
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MISC内存取证_Kali环境下使用volatility
dbsod007520的博客
08-18 5514
前言 1、本文所需工具及题目下载路径: 2、所作操作均使用root用户执行 一、安装volatility及相关依赖文件 volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。 1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master 2、将pac.zip文件中的内
volatility取证
sechelper的博客
12-07 1565
vil取证,常用命令合集,11道实践案例,CTF相关
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
最新发布
2401_85013565的博客
05-15 1402
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(2)
2401_85013565的博客
05-15 839
amcache - 打印 AmCache 信息apihooks - 检测进程和内核内存中的 API 挂钩atoms - 打印会话和窗口站原子表atomscan - 原子表的池扫描器auditpol - 从 HKLM\SECURITY\Policy\PolAdtEv 打印出审计策略。
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证 volatility
07-12
在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它来执行内存取证分析。 Volatility框架由多个插件组成,这些插件针对不同的取证任务进行了优化。例如,`pslist`插件用于列出系统...
volatility内存取证命令合集
01-10
标题中的“Volatility内存取证命令合集”指向了这是一份关于Volatility框架的详细指令列表。Volatility是一个开源内存取证框架,它允许安全分析人员在运行中的计算机系统上提取、分析和调查内存中的数据。这些数据...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
内存取证-volatility工具的使用 (史上更全教程,更全命令
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Windows取证实验
qq_63855830的博客
03-26 2147
Windows活取证实验
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 1万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3376
内存取证神器Volatility常用指令大全
volatility常用的命令
菜菜的博客
09-30 2258
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
数据分析取证:dump.pcapng
m0_46239567的博客
07-02 1867
dump.pcapng1、某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻 击,使用 Wireshark 抓包分析软件查看并分析 PC20201 服务器 C:\Users\Public\Documents路径下的dump.pcapng数据包文件,找到黑客的IP地址, 并将黑客的 IP 地址作为 Flag 值(如:172.16.1.1)提交;过滤http请求方式 过滤出源地址在最后一条数据发现horse。。?木马后门172.16.1.1102.继续分析数据包文件dump.pcapng
windows下的volatility内存取证分析与讲解
cuihua的博客
04-03 8223
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
内存取证-volatility工具的使用
baynk的博客
05-11 2万+
0x00 volatility介绍 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。 目前已经有一段时
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值