公众号:白帽子左一 volatility常用命令查看volatility已安装的profile和插件 volatility --info 当我们拿到一个内存文件镜像的时候 一般来说我们应该先用 imageinfo -f 指定一个镜像文件 imageinfo 查看系统摘要信息 volatility -f imageinfo hashdump 查看用户名和密码volatility -f --profile= hashdump 然后我们换一个 pslist 直接列出运行的进程 volatility -f --profile= pslist psxview 查看隐藏进程 volatility -f --profile= psxview netscan 查看网络连接状态 volatility -f --profile= netscan connscan查看网络连接状态 volatility -f --profile= connscan connections 检索已建立的网络连接状态 volatility -f --profile= connections hivelist 列出注册表信息volatility -f --profile= hivelist cmdline/cmdscan 提取内存中保留的cmd命令使用情况volatility -f --profile= cmdline filescan 扫描内存中的文件volatility -f --profile= filescan dumpfiles 将内存文件提取出来dumpfiles: 然后我们点开图片 screenshot —dump-dir=./ 查看桌面截图并存储到当前目录下 printkey -K “ControlSet001\Control\ComputerName\ComputerName” 查看当前主机名 原理是从注册表的system往下找,找到主机名 printkey -K “SAM\Domains\Account\Ueers\Names” 查看系统用户名 `volatility -f win2008.vmem —profile=Win2003SP1x86 printkey -K “SAM\Domains\Account\Ueers\Names” printkey -K 指定的是注册表的路径,查看主机名那个是从 HKEY_LOCAL_MACHINE\SYSTEM\下开始的 而用户名又是从HKEY_LOCAL_MACHINE\SAM\下开始的 memdump -p -D ./ 将进程程序提取出来 volatility -f win2008.vmem --profile=Win2003SP1x86 memdump -p 1152 -D ./ ![]() consoles 抓取控制台下执行的命令以及回显数据mftparser 抓取删除的文件 |
标签: volatility profile 查看 我们 文件 win printkey ComputerName 一个 指定 出处: https://www.toutiao.com/a7024427260186837515/ |