volatility命令使用 misc部分取证解题(部分内存取证)

已于 2022-09-22 08:38:58 修改
阅读量3.6k 收藏 17
点赞数 2
分类专栏: misc 取证 volatility 文章标签: java linux 开发语言
于 2021-07-13 13:38:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45791884/article/details/118698117
版权

使用命令:Volatility -f<文件名> --profile=<配置文件><插件>[插件参数]

一般思路步骤

  • 列举进程 查找需要的信息
  • Volatility -f name --profile=Winxpap2x86  pslist
  • 创建文件夹 把需要保存的文件提取

将内存中的某个进程数据以dup的格式保存出来

volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]

  •  mkdir ctf
  • volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p 1464 -D ctf/
  • 使用EFDD将获取的key(dump的文件)和破解文件结合得到flag

二般思路步骤

  1. 老规矩查看内存文件的信息 imageinfo
  2. 得到配置文件后,进行查询:查看开放端口以及连接情况 netscan、查看系统注册表(获取主机名、IP地址等)hivelist、都注册表信息printkey
  3. 查看剪切板中的信息(获取复制剪切内容)clipboard
  4. 查看进程信息 plist 包括正在运行的 暂停运行的会在后面显示展厅时间、显示隐藏/终止的进程 psscan、把进程以树的形式显示pstree 与o保存
  5. 查看dll文件(但发现可疑进程,可进行深入探究) dlllist -p[PID]
  6. 查看ie历史 iehistory
  7. Filescan 或者和grep使用查找需要的文件 然后n保存
  8. Cmdscan
  9. 查看进程命令行参数(具体一些可疑进程的参数指令)cmdline
  10. 查看notepad文件(在pslist中查看进程中的notepad.exe.中的内容) notepad
  11. 有时候得到信息不一定就是他,毕竟老套娃了 我们可能需要获取密码 hash  hashdum
  12. 保存文件dmp
  13. 回到注册表,打印对应的表的数据 hivedump -o 虚拟地址
  14. filescan文件 然后转储内存中的文件 打印出filescan出来的文件 dumpfiles -q 偏移地址 -D路径
  15. Pslist查看进程 可以转储内存中的进程的exe文件 procdump -p -D路径

常用命令

volatility -f name imageinfo  查看文件/内存镜像的信息 比如系统版本、硬件构架等

Volatility --info                       查看已添加profile和插件信息

volatility -f example.raw --profile=Win7SP1x64 filescan | grep -E'txt|png|jpg|gif|zip|rar|7z|pdf|doc'               扫描文件

volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User                                             #搜索指定文件夹下的文件

volatility -f zy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x2456028 --dump-dir=./           使用dumpfiles提取文件 -Q的参数为 内存地址--dump-dir的参数为导出文件的目录

Volatility -f name --profile=?? Volshell  包含许多shell命令 其中  例如dt(“_PEB”)

Volatility -f name --profile=Winxpap2x86  hivelist 列举缓存在内存的注册表

Volatility -f name --profile=Winxpap2x86 hivedump -o 注册表的virtual地址              打印出注册表

最低0.47元/天 解锁文章
uiless
关注
专栏目录
第七届“蓝帽杯”初赛取证题目超详细解析,检材可以看我的下载资源,有百度网盘的分享链接
ntrybw的博客
08-26 2541
刚刚打完比赛,准备晚上写一下wp,刚好整理一下题目,ctf的题目一般都有,取证不一定,这里还是要感谢蓝猫,大规模取证题目,让警校大大获利,更加方便晋级。
MISC内存取证_Kali环境下使用volatility
dbsod007520的博客
08-18 5544
前言 1、本文所需工具及题目下载路径: 2、所作操作均使用root用户执行 一、安装volatility及相关依赖文件 volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。 1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master 2、将pac.zip文件中的内
volatility取证
sechelper的博客
12-07 1584
vil取证,常用命令合集,11道实践案例,CTF相关
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
最新发布
2401_85013565的博客
05-15 1477
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(2)
2401_85013565的博客
05-15 885
amcache - 打印 AmCache 信息apihooks - 检测进程和内核内存中的 API 挂钩atoms - 打印会话和窗口站原子表atomscan - 原子表的池扫描器auditpol - 从 HKLM\SECURITY\Policy\PolAdtEv 打印出审计策略。
[ctf Misc][RoarCTF2019]forensic +内存取证
ShenZ的博客
09-09 2355
这题蛮鬼的,就,没有捷径,捷径导出文件一定是坏的 附件:mem.raw [RoarCTF2019]forensic 1.volatility处理 λ volatility_2.6_win64_standalone.exe -f xxx7\Compressed\mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based o
[ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
ShenZ的博客
07-20 5099
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 volatility.exe -f C:\Users\shen\Downloads\mem.raw --profile=Win7SP1x86_23418 pslist > pslist.txt 从后向前看,最后是内存镜像固定用的dumpit软件和windows运行后台的exe,再上面有三个进程值得注意
misc】2021 极客大挑战(部分
woodwhale的博客
11-29 4393
misc】2021 极客大挑战(部分) 1、今天有被破防吗? 0x1 最早上的一批题目,当时没什么思路。后来pwn神在群里提到了RGB,瞬间懂了! 参考链接: gaps拼图 0x2 下载附件得到一个很长的txt文本,其中每一行都是三个数字。如果知道是RGB就好处理了。 0x3 注意到一共1166400行,那么就是1080*1080的规格 简单的python脚本处理一下图片 from PIL import Image res = [] with open("./ans.txt","r") as f
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
内存取证-volatility工具的使用 (史上更全教程,更全命令
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Windows取证实验
qq_63855830的博客
03-26 2218
Windows活取证实验
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 1万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
内存取证神器Volatility常用指令大全
qq_43678263的博客
08-11 3410
内存取证神器Volatility常用指令大全
volatility常用的命令
菜菜的博客
09-30 2295
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,内存取证工具
Volatility工具——内存取证解题思路步骤
2301_76524931的博客
09-22 473
内存取证的实战题目。
【技术分享】实战volatility内存取证
dzqxwzoe的博客
11-24 760
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家所合作开发的一套工具, 可以用于windows、linux、macosx和android等系统内存取证,在应急响应、系统分析、取证领域有着举足轻重的地位。本期技术分享,小星将带大家从三个实战环境中来了解volatility使用与技巧。
数据分析取证:dump.pcapng
m0_46239567的博客
07-02 1900
dump.pcapng1、某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻 击,使用 Wireshark 抓包分析软件查看并分析 PC20201 服务器 C:\Users\Public\Documents路径下的dump.pcapng数据包文件,找到黑客的IP地址, 并将黑客的 IP 地址作为 Flag 值(如:172.16.1.1)提交;过滤http请求方式 过滤出源地址在最后一条数据发现horse。。?木马后门172.16.1.1102.继续分析数据包文件dump.pcapng
windows下的volatility内存取证分析与讲解
cuihua的博客
04-03 8358
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值