Volatility取證大殺器
Volatility取證大殺器
Volatility學(xué)習(xí)
Volatility是一款開源的內(nèi)存取證軟件,支持Windows、Mac、linux(kali下等等)環(huán)境下使用。并且分別有Volatility2與Volatility3兩個大版本,依次需要在py2、py3的環(huán)境下進(jìn)行使用,也要確保系統(tǒng)中已安裝環(huán)境,安裝pycrpto庫函數(shù)。
學(xué)習(xí)方向(個人見解):對于常規(guī)比賽中的內(nèi)存取證,多為查看計算機(jī)版本號、PID、PPID、SID、密碼、時間等等之類的。不過就比賽而言,掌握基礎(chǔ)命令,去解決比賽中的題目足矣,并且內(nèi)存取證也有很多小工具、小程序,要與Volatility結(jié)合而用,包括與取證大師、仿真的虛擬機(jī)一同查看探究,我認(rèn)為更多的要注重于時間線,可以得到很多意想不到的的結(jié)果。
其次,就現(xiàn)實生活中的工作當(dāng)中,內(nèi)存取證涉及方面寬、廣、面大,需要我們共同去探究學(xué)習(xí)!最后希望大家共同進(jìn)步!
下載安裝
下載:官網(wǎng)下載即可
下載網(wǎng)址:
https://www.volatilityfoundation.org/releases(切記:下載時仍然保留)
Windows環(huán)境下下載軟件包
打開后
直接輸入CMD打開使用(簡單方便)
學(xué)習(xí)使用,以2019年美亞杯個人賽鏡像為準(zhǔn)則
只需將鏡像拖入 后續(xù)便可直接進(jìn)行使用
命令學(xué)習(xí)
(本次多為Windows大環(huán)境下的使用)
判斷未知內(nèi)存鏡像系統(tǒng)版本信息
命令:volatility -f 文件路徑 imageinfo
kali下解析(命令相同 做一演示)
選擇版本的型號
命令:pslist/pstree/psscan:
非常有用的插件,列出轉(zhuǎn)儲時運(yùn)行的進(jìn)程的詳細(xì)信息;顯示過程ID,該父進(jìn)程ID(PPID),線程的數(shù)目,把手的數(shù)目,日期時間時,過程開始和退出
pslist無法顯示隱藏/終止進(jìn)程
其次在volatility中尋找自己需要的信息是非常煩瑣的,因此導(dǎo)出查看可以為我們提供便利
命令:volatility -f mem.vmem --profile=WinXPSP2 x86 pslist >pslist.txt
命令:
volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt
任何數(shù)據(jù)都可以導(dǎo)出,然后進(jìn)行使用
比如:導(dǎo)出“查看服務(wù)(svcscan)”的數(shù)據(jù)
命令:hivelist:查看緩存在內(nèi)存的注冊表
命令:hashdump:獲取內(nèi)存中的系統(tǒng)密碼
命令:getsids:查看SID
volatility -f bb.raw--profile=Win7SP1x86_23418 getsids
打印機(jī)在注冊表中的位置
借鑒:(助于大家學(xué)習(xí))
https://www.doc88.com/p-9107655008710.html?r=1
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents默認(rèn)瀏覽器注冊表
取證例題
小明不小心把自己出題的flag在微信中發(fā)了出去,你能找到這個flag嗎?附件下載提取碼(GAME)
https://share.weiyun.com/YHLKL9tn
備用下載
https://pan.baidu.com/s/1ttL3WmlMn48RDXGCIy6VkQ
1、查看文件
2、思路整合
根據(jù)題意flag在微信當(dāng)中因此思路為 Find wechat→導(dǎo)出數(shù)據(jù)庫→破解→得到flag
四個可疑進(jìn)程
3、尋找關(guān)鍵信息
4、導(dǎo)出
gift導(dǎo)出,發(fā)現(xiàn)出來dat文件,但是dat文件可以進(jìn)行修改后綴。改為jpg格式,打開后發(fā)現(xiàn)如下。
5、結(jié)合所學(xué)知識得到flag
使用010 editor進(jìn)行修改圖片大小
Passwd:
Nothing is more important than your life!
解碼:
c0778cb1c62f4e5bb246f8dfe5dec0117e4ae15959794d88886a4a2c5cde9354
base64解碼網(wǎng)址:https://the-x.cn/zh-cn/base64
在文件里輸入cmd 輸入命令 python(不知道python版本號,那么就直接輸入python)
腳本→
修改偏移量
123.py -k
c0778cb1c62f4e5bb246f8dfe5dec0117e4ae15959794
d88886a4a2c5cde9354 -d wechat.dat
命令總結(jié)
比賽、實戰(zhàn)中常用的命令總結(jié)方便大家學(xué)習(xí)使用
命令:volatility -f 文件路徑 imageinfo 判斷未知內(nèi)存鏡像系統(tǒng)版本信息
命令:pslist/pstree/psscan 顯示過程ID,該父進(jìn)程ID(PPID),線程的數(shù)目,把手的數(shù)目,日期時間時,過程開始和退出
命令:導(dǎo)出 volatility-f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt
命令:svcscan 查看服務(wù)的數(shù)據(jù)
命令:hivelist:查看緩存在內(nèi)存的注冊表
命令:hashdump:獲取內(nèi)存中的系統(tǒng)密碼
命令:getsids:查看SID
命令:iehistory 查看瀏覽器歷史記錄
命令:查看服務(wù) svcscan
命令:查看運(yùn)行程序相關(guān)的記錄,比如最后一次更新時間,運(yùn)行過的次數(shù)等 userassist
命令:netscan 查看網(wǎng)絡(luò)連接
命令:filescan 查看文件
命令:printkey 獲取SAM表中的用戶
命令:檢索最后的登入用戶
printkey-K "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogin"
命令:sockscan TrueCrypt摘要
審核編輯 :李倩
-
軟件
+關(guān)注
關(guān)注
69文章
5013瀏覽量
88085 -
線程
+關(guān)注
關(guān)注
0文章
505瀏覽量
19758
原文標(biāo)題:內(nèi)存取證|Volatility大殺器
文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
視覺傳感器 | 這些常見的Q&A!今天統(tǒng)一回答!
一文掌握UV LED在空凈消殺領(lǐng)域的主要應(yīng)用
杰和科技AI PC N601“殺”瘋啦
垂直啟航·未來e行!2024深圳eVTOL展將于9月23-25日在深圳召開
傳遞綠色動力,引領(lǐng)綠色出行!綠傳科技邀您參加2024深圳eVTOL展
北亞FB-C7500數(shù)據(jù)庫取證分析系統(tǒng)#數(shù)據(jù)庫取證
arduino ide開發(fā)esp32 CAM模組HTTPS無法正確讀取證書怎么解決?
工商網(wǎng)監(jiān)
評論