内存取证|不一样的Volatility从0到1

admin 2022年9月20日17:59:18取证分析评论6 views1314字阅读4分22秒阅读模式

下载安装


官网下载即可:

内存取证|不一样的Volatility从0到1


https://www.volatilityfoundation.org/releases 网址

Windows环境下下载软件包

内存取证|不一样的Volatility从0到1

直接输入CMD打开使用(简单方便)

内存取证|不一样的Volatility从0到1

真题操练

只需将镜像拖入

内存取证|不一样的Volatility从0到1

判断未知内存镜像系统版本信息

volatility -f 文件路径  imageinfo

内存取证|不一样的Volatility从0到1

kali下解析

内存取证|不一样的Volatility从0到1

命令:pslist/pstree/psscan :非常有用的插件,列出转储时运行的进程的详细信息;显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出

pslist无法显示隐藏/终止进程

内存取证|不一样的Volatility从0到1

导出

volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

内存取证|不一样的Volatility从0到1

内存取证|不一样的Volatility从0到1

任何数据都可以导出,然后进行使用

比如:导出“查看服务(svcscan)”的数据

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

内存取证|不一样的Volatility从0到1

内存取证|不一样的Volatility从0到1

Kali下

内存取证|不一样的Volatility从0到1

命令:hivelist:查看缓存在内存的注册表

内存取证|不一样的Volatility从0到1

命令:hashdump:获取内存中的系统密码

volatility -f bb.raw --profile=Win7SP1x86_23418 hashdump

内存取证|不一样的Volatility从0到1

命令:getsids:查看SID

volatility -f bb.raw --profile=Win7SP1x86_23418 getsids

内存取证|不一样的Volatility从0到1

计算机名称

内存取证|不一样的Volatility从0到1

导出注册表

内存取证|不一样的Volatility从0到1

发现SYSTEM是注册表信息,用WRR打开

内存取证|不一样的Volatility从0到1

注册表内USB

内存取证|不一样的Volatility从0到1

借鉴:https://www.doc88.com/p-9107655008710.html?r=1

内存取证|不一样的Volatility从0到1

打印机在注册表中的位置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents 默认浏览器 注册表

命令:查看浏览器历史记录  

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 

内存取证|不一样的Volatility从0到1

Kali下

内存取证|不一样的Volatility从0到1

命令:查看服务 svcscan

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 svcscan

建议导出查看,数据量大

内存取证|不一样的Volatility从0到1

命令:查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等 userassist

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 userassist

内存取证|不一样的Volatility从0到1

命令:查看网络连接 volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 netscan

内存取证|不一样的Volatility从0到1

命令:查看文件 volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 filescan

建议导出查看,数据量大

内存取证|不一样的Volatility从0到1

命令:获取SAM表中的用户

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 printkey

内存取证|不一样的Volatility从0到1

原文始发于微信公众号(Th0r安全):内存取证|不一样的Volatility从0到1

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月20日17:59:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  内存取证|不一样的Volatility从0到1 https://cn-sec.com/archives/1306496.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: