【volatility】内存取证

admin 2022年5月21日16:24:49取证分析评论17 views1667字阅读5分33秒阅读模式

下面列几个volatility的参数:

driverirp:IRP hook驱动检测

drivermodule:关联驱动对象至内核模块

driverscan:驱动对象池扫描

dumpcerts:提取RAS私钥及SSL公钥

dumpfiles:提取内存中注册表信息至磁盘

editbox:查看Edit编辑控件信息(Listbox正在实验中)

envars:显示进程的环境变量

eventhooks:打印Windows事件hook详细信息

evtlogs:提取Windows事件日志(仅支持XP/2003)

    filescan:提取文件对象池信息

gahti:转储用户句柄类型信息

gditimers:打印已安装的GDI计时器及回调

gdt:显示全局描述符表

getservicesides:获取注册表的服务名称并返回SID信息

getsids:打印每个进程的SID信息

handles:打印每个进程打开的句柄的列表(句柄是一种智能的指针)

hashdump:转储内存中Windows账户密码哈希

hibinfo:转储休眠文件信息

hivedump:打印注册表配置单元信息

【volatility】内存取证

正文

【volatility】内存取证

看一下题目的要求。

【volatility】内存取证


volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd imageinfo

【volatility】内存取证


第一题是进程个数,可以导出到txt中查看行数来判断个数。

volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 pslist > 1.txt

132-2=130个

【volatility】内存取证

volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 getsids


S-1-5-21-1208496363-1471511537-3676892945-500

【volatility】内存取证


这里是没有命令可以查看系统时间的,但是可以通过system的启动时间判断系统开机时间

volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 pslist


2018-10-25 07:20:46 UTC+0000

【volatility】内存取证


volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 dlllist -p 3808


volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 dlllist -p 4760

【volatility】内存取证

【volatility】内存取证


volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 svcscan > 3.txt

【volatility】内存取证

【volatility】内存取证


volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 dlllist -p 5800

【volatility】内存取证


volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 netscan | grep -i 7273

【volatility】内存取证

volatility_2.6_win64_standalone.exe -f Q1.Windows7_memory.dd --profile=Win7SP1x86_23418 netscan | grep -i  ESTABLISHED | grep -v 127.0.0.1 | grep -v -i udp

【volatility】内存取证


来源:Th0r安全


【volatility】内存取证

提取本地PC所有的微信信息, 包括微信ID和手机号脚本

原文始发于微信公众号(电子物证):【volatility】内存取证

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月21日16:24:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【volatility】内存取证 http://cn-sec.com/archives/1034021.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: