內存取證之Volatility從0到1編程設計
下載安裝
官網下載即可:
https://www.volatilityfoundation.org/releases網址
Windows環境下下載軟件包
直接輸入CMD打開使用(簡單方便)
真題操練
只需將鏡像拖入
判斷未知內存鏡像系統版本信息
volatility -f 文件路徑 imageinfo
kali下解析
命令:pslist/pstree/psscan :非常有用的插件,列出轉儲時運行的進程的詳細信息;顯示過程ID,該父進程ID(PPID),線程的數目,把手的數目,日期時間時,過程開始和退出
pslist無法顯示隱藏/終止進程
導出
volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt
任何數據都可以導出,然后進行使用
比如:導出“查看服務(svcscan)”的數據
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt
Kali下
命令:hivelist:查看緩存在內存的注冊表
命令:hashdump:獲取內存中的系統密碼
volatility -f bb.raw --profile=Win7SP1x86_23418hashdump
命令:getsids:查看SID
volatility -f bb.raw --profile=Win7SP1x86_23418 getsids
計算機名稱
導出注冊表
發現SYSTEM是注冊表信息,用WRR打開
注冊表內USB
借鑒//www.doc88.com/p-9107655008710.html?r=1
打印機在注冊表中的位置
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents 默認瀏覽器 注冊表
命令:查看瀏覽器歷史記錄
volatility -f D:電子取證備賽memdump.mem--profile=Win7SP1x86_23418
Kali下
命令:查看服務 svcscan
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418svcscan
建議導出查看,數據量大
命令:查看運行程序相關的記錄,比如最后一次更新時間,運行過的次數等 userassist
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 userassist
命令:查看網絡連接 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 netscan
命令:查看文件 volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 filescan
建議導出查看,數據量大
命令:獲取SAM表中的用戶
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 printkey
編輯:黃飛
-
內存
+關注
關注
8文章
3055瀏覽量
74332 -
編程
+關注
關注
88文章
3637瀏覽量
93986
原文標題:內存取證之Volatility從0到1
文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
Windows內存取證知識淺析-上篇
SoPC目標板Flash編程設計的創建及應用介紹
內存取證的內核完整性度量方法
數字IC設計之“數字SOC全流程漫談從0到1”
筆記:四旋翼無人機從0到1的實現,目錄鏈接
Volatility取證大殺器
初識內存取證-volatility與Easy_dump
虹科分享 | 關于內存取證你應該知道的那些事
工商網監
評論