「内存取证 」Volatility基本用法

2021-11-01|

公众号:白帽子左一
领取配套练手靶场、安全全套课程及工具...

volatility常用命令

查看volatility已安装的profile和插件

volatility --info

当我们拿到一个内存文件镜像的时候

一般来说我们应该先用 imageinfo
查看镜像的信息

-f 指定一个镜像文件

imageinfo 查看系统摘要信息

volatility -f imageinfo


hashdump 查看用户名和密码

volatility -f --profile= hashdump
需要提前指定系统
就是从 Suggested Profile(s)中得到的几个系统版本(可能吧?)中选取一个
有的选了没用,就换下一个
例如

然后我们换一个
就可以看到md5的密码
随后用暴力破解就可以了



pslist 直接列出运行的进程

volatility -f --profile= pslist


psxview 查看隐藏进程

volatility -f --profile= psxview


netscan 查看网络连接状态

volatility -f --profile= netscan
有的时候netscan用了没反应
但是能用connscan


connscan查看网络连接状态

volatility -f --profile= connscan


connections 检索已建立的网络连接状态

volatility -f --profile= connections


hivelist 列出注册表信息

volatility -f --profile= hivelist


cmdline/cmdscan 提取内存中保留的cmd命令使用情况

volatility -f --profile= cmdline


filescan 扫描内存中的文件

volatility -f --profile= filescan
但是这样扫描得到的东西太多太杂乱
我们可以使用 grep 来筛选
例如我们要找jpg图片
就在最后加一个 | grep “JPG”
volatility -f --profile= filescan | grep "JPG"


dumpfiles 将内存文件提取出来

dumpfiles:
-Q 指定文件的16进制地址
-D 要存储的位置
volatility -f --profile= dumpfile -Q -D ./
./就是存储到当前目录下
volatility -f win2008.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x0000000004643848 -D ./

然后我们点开图片
发现确实是我们刚才画的图片


screenshot —dump-dir=./

查看桌面截图并存储到当前目录下
volatility -f win2008.vmem --profile=Win2003SP1x86 screenshot --dump-dir=./


printkey -K “ControlSet001\Control\ComputerName\ComputerName” 查看当前主机名

原理是从注册表的system往下找,找到主机名
volatility -f win2008.vmem --profile=Win2003SP1x86 printkey -K "ControlSet001\Control\ComputerName\ComputerName"


printkey -K “SAM\Domains\Account\Ueers\Names” 查看系统用户名

`volatility -f win2008.vmem —profile=Win2003SP1x86 printkey -K “SAM\Domains\Account\Ueers\Names”

printkey -K 指定的是注册表的路径,查看主机名那个是从

HKEY_LOCAL_MACHINE\SYSTEM\下开始的

而用户名又是从HKEY_LOCAL_MACHINE\SAM\下开始的




memdump -p -D ./ 将进程程序提取出来

volatility -f win2008.vmem --profile=Win2003SP1x86 memdump -p 1152 -D ./


consoles 抓取控制台下执行的命令以及回显数据


mftparser 抓取删除的文件


标签: volatility profile 查看 我们 文件 win printkey ComputerName 一个 指定
出处: https://www.toutiao.com/a7024427260186837515/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护