volatility命令使用 misc部分取证解题(部分内存取证)

使用命令:Volatility -f<文件名> --profile=<配置文件><插件>[插件参数]

一般思路步骤

  • 列举进程 查找需要的信息
  • Volatility -f name --profile=Winxpap2x86  pslist
  • 创建文件夹 把需要保存的文件提取

将内存中的某个进程数据以dup的格式保存出来

volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]

  •  mkdir ctf
  • volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p 1464 -D ctf/
  • 使用EFDD将获取的key(dump的文件)和破解文件结合得到flag

二般思路步骤

  1. 老规矩查看内存文件的信息 imageinfo
  2. 得到配置文件后,进行查询:查看开放端口以及连接情况 netscan、查看系统注册表(获取主机名、IP地址等)hivelist、都注册表信息printkey
  3. 查看剪切板中的信息(获取复制剪切内容)clipboard
  4. 查看进程信息 plist 包括正在运行的 暂停运行的会在后面显示展厅时间、显示隐藏/终止的进程 psscan、把进程以树的形式显示pstree 与o保存
  5. 查看dll文件(但发现可疑进程,可进行深入探究) dlllist -p[PID]
  6. 查看ie历史 iehistory
  7. Filescan 或者和grep使用查找需要的文件 然后n保存
  8. Cmdscan
  9. 查看进程命令行参数(具体一些可疑进程的参数指令)cmdline
  10. 查看notepad文件(在pslist中查看进程中的notepad.exe.中的内容) notepad
  11. 有时候得到信息不一定就是他,毕竟老套娃了 我们可能需要获取密码 hash  hashdum
  12. 保存文件dmp
  13. 回到注册表,打印对应的表的数据 hivedump -o 虚拟地址
  14. filescan文件 然后转储内存中的文件 打印出filescan出来的文件 dumpfiles -q 偏移地址 -D路径
  15. Pslist查看进程 可以转储内存中的进程的exe文件 procdump -p -D路径

常用命令

volatility -f name imageinfo  查看文件/内存镜像的信息 比如系统版本、硬件构架等

Volatility --info                       查看已添加profile和插件信息

volatility -f example.raw --profile=Win7SP1x64 filescan | grep -E'txt|png|jpg|gif|zip|rar|7z|pdf|doc'               扫描文件

volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User                                             #搜索指定文件夹下的文件

volatility -f zy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x2456028 --dump-dir=./           使用dumpfiles提取文件 -Q的参数为 内存地址--dump-dir的参数为导出文件的目录

Volatility -f name --profile=?? Volshell  包含许多shell命令 其中  例如dt(“_PEB”)

Volatility -f name --profile=Winxpap2x86  hivelist 列举缓存在内存的注册表

Volatility -f name --profile=Winxpap2x86 hivedump -o 注册表的virtual地址              打印出注册表

  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值