内存取证——volatility命令
生活随笔
收集整理的這篇文章主要介紹了
内存取证——volatility命令
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
文章目錄
- 前言
- 常用命令
- 0x01:查看鏡像系統
- 0x02:列舉進程
- 0x03:列舉注冊表
- 0x04:獲取瀏覽器瀏覽歷史
- 0x05:掃描文件
- 0x06:列舉用戶及密碼
- 0x07:獲取屏幕截圖
- 0x08:其他命令
- 總結
前言
經常遇到內存取證的題目,就把volatility一些常見的命令給總結下來,方便之后自己的做題。
常用命令
0x01:查看鏡像系統
volatility -f 1.raw imageinfo
支持的系統中有Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86,要驗證那一個系統正確,可以使用命令:
得到正確的鏡像系統后,便可以在后面加上
0x02:列舉進程
volatility -f 1.raw --profile=Win7SP0x86 pslist
除此之外,與其類似的還有pstree,可以識別子進程和父進程,且可以顯示出被隱藏的病毒
列出進程后,找可疑的進程進行提取
進程里面可能會隱藏flag等關鍵信息,可以使用以下命令查看dump
strings -e l 252.dmp | grep flag #-e的參數為編碼方式,其中l為16-bit編碼0x03:列舉注冊表
volatility -f 1.raw --profile=Win7SP1x86 hivelist
導出注冊表
0x04:獲取瀏覽器瀏覽歷史
volatility -f 1.raw --profile=Win7SP1x86 iehistory0x05:掃描文件
volatility -f 1.raw --profile=Win7SP1x86 filescan | grep flag #filescan會掃描內存中所有文件
如果要提取的話,使用dumpfiles提取文件
掃描圖片的命令
volatility -f 鏡像名 --profile=系統版本 filescan | grep -E 'jpg|png|jpeg|bmp|gif'0x06:列舉用戶及密碼
volatility -f 1.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"
獲取最后登陸系統的用戶
從內存中獲取密碼哈希
先獲取到注冊表中的system 的 virtual 地址,SAM 的 virtual 地址
volatility -f 1.raw --profile=Win7SP1x86 hivelist
使用命令:
解出來密碼
0x07:獲取屏幕截圖
volatility -f 1.raw --profile=Win7SP1x86 screenshot --dump-dir=./
有時可以通過截圖看做了什么操作
0x08:其他命令
cmd命令使用情況
volatility -f 1.raw --profile=Win7SP1x86 cmdscan查看cmd詳細情況
volatility -f 1.raw --profile=Win7SP1x86 cmdline
查看開啟的windows服務
總結
這些命令總結下來,方便之后自己使用。
總結
以上是生活随笔為你收集整理的内存取证——volatility命令的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 勒索病毒“WannaCry”复现
- 下一篇: 2020太湖杯 | Wp及复现