文章目錄

• 前言
• • 常用命令
  • • • 0x01:查看鏡像系統(tǒng)
      • 0x02:列舉進(jìn)程
      • 0x03:列舉注冊(cè)表
      • 0x04:獲取瀏覽器瀏覽歷史
      • 0x05:掃描文件
      • 0x06:列舉用戶及密碼
      • 0x07:獲取屏幕截圖
      • 0x08:其他命令
• 總結(jié)

---

前言

經(jīng)常遇到內(nèi)存取證的題目，就把volatility一些常見的命令給總結(jié)下來，方便之后自己的做題。

---

常用命令

0x01:查看鏡像系統(tǒng)

volatility -f 1.raw imageinfo

支持的系統(tǒng)中有Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86，要驗(yàn)證那一個(gè)系統(tǒng)正確，可以使用命令：

#調(diào)出shell窗口，如果正確的話便可以getshell volatility -f 1.raw --profile=Win7SP0x86 volshell #shell命令： dt("內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)名稱") dt("_PEB")

得到正確的鏡像系統(tǒng)后，便可以在后面加上

--profile=Win7SP0x86

0x02:列舉進(jìn)程

volatility -f 1.raw --profile=Win7SP0x86 pslist

除此之外，與其類似的還有pstree，可以識(shí)別子進(jìn)程和父進(jìn)程，且可以顯示出被隱藏的病毒

volatility -f 1.raw --profile=Win7SP0x86 pstree

列出進(jìn)程后，找可疑的進(jìn)程進(jìn)行提取

volatility -f 1.raw --profile=Win7SP0x86 memdump -p 252 -D ./

--profile的參數(shù)為系統(tǒng)版本

-p的參數(shù)為進(jìn)程ID

-D的參數(shù)為保存文件的路徑

進(jìn)程里面可能會(huì)隱藏flag等關(guān)鍵信息，可以使用以下命令查看dump

strings -e l 252.dmp | grep flag #-e的參數(shù)為編碼方式，其中l(wèi)為16-bit編碼

0x03:列舉注冊(cè)表

volatility -f 1.raw --profile=Win7SP1x86 hivelist

導(dǎo)出注冊(cè)表

volatility -f 1.raw --profile=Win7SP1x86 hivedump -o 0x93fc41e8(注冊(cè)表的 virtual 地址)

0x04:獲取瀏覽器瀏覽歷史

volatility -f 1.raw --profile=Win7SP1x86 iehistory

0x05:掃描文件

volatility -f 1.raw --profile=Win7SP1x86 filescan | grep flag #filescan會(huì)掃描內(nèi)存中所有文件

如果要提取的話，使用dumpfiles提取文件

volatility -f 1.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000003e71e608 --dump-dir=./

-Q的參數(shù)為 內(nèi)存地址

--dump-dir的參數(shù)為導(dǎo)出文件的目錄

掃描圖片的命令

volatility -f 鏡像名 --profile=系統(tǒng)版本 filescan | grep -E 'jpg|png|jpeg|bmp|gif'

0x06:列舉用戶及密碼

volatility -f 1.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

獲取最后登陸系統(tǒng)的用戶

volatility -f 1.raw --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

從內(nèi)存中獲取密碼哈希

先獲取到注冊(cè)表中的system 的 virtual 地址，SAM 的 virtual 地址

volatility -f 1.raw --profile=Win7SP1x86 hivelist

使用命令：

volatility -f 1.raw --profile=Win7SP1x86 hashdump -y 0x8a01c008 -s 0x93fc41e8

解出來密碼

0x07:獲取屏幕截圖

volatility -f 1.raw --profile=Win7SP1x86 screenshot --dump-dir=./

有時(shí)可以通過截圖看做了什么操作

0x08:其他命令

cmd命令使用情況

volatility -f 1.raw --profile=Win7SP1x86 cmdscan

查看cmd詳細(xì)情況

volatility -f 1.raw --profile=Win7SP1x86 cmdline

查看開啟的windows服務(wù)

volatility -f 1.raw --profile=Win7SP1x86 svcscan

總結(jié)

這些命令總結(jié)下來，方便之后自己使用。

總結(jié)

以上是生活随笔為你收集整理的内存取证——volatility命令的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。