vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 hivelist //打印注册表配置单元列表
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 hashdump -y system -s SAM // 转储内存中的Windows帐户密码哈希(LM/NTLM),这里在实际操作过程中需要价格system的虚地址填入,还有SAM的虚地址填入
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 timeliner // 从多个位置收集大量系统活动信息
从内存中提取文字:
procdump64.exe -ma notepad.exe notepad.dmp
strings notepad.dmp > notepad.txt
cat notepad.txt | grep "i love hacker"
原文始发于微信公众号(红豆芷浠):计算机取证
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论