Volatility2.6内存取证工具安装及入门-1
https://developer.aliyun.com/article/1501454
4-2-8. 跟踪文件路径,大小,最后修改时间和最后“执行”时间.
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 shimcache
4-2-9. 显示环境变量
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 envars
4-2-10. 文件扫描
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 filescan
#查找文件,可搭配 grep | “xxx” / filescan | grep -E “flag”
4-2-11. 通过16进制位置dump出相关的文件
#参数:dumpfiles -Q [16进制位置] -D 保存目录
ython2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003b33fb70 -D .
dump出相关文件后可以进行下一步操作
4-2-12. 通过进程号dump出相关的文件
#参数:memdump -p [PID] -D 保存目录
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p 2368 -D .
4-2-13. 查看系统正在运行的编辑本
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 editbox
4-2-14. 导出系统的注册表
#参数:dumpregistry -D 保存目录
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpregistry -D .
4-2-15. 导出镜像当前截屏【需要安装PIL库】
#参数:screenshot -D 保存目录
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 screenshot -D .
在没有头绪的时候可以看一下截屏,说不定有意外收获可以看到打开的窗口
4-2-16. 查看剪贴板数据
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 clipboard
这个镜像貌似剪切板没数据。
4-2-17. 查看浏览器的历史记录
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 iehistory
4-2-18. 查看系统账户
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
4-2-19 查看计算机名
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
这边大多数系统的注册表名是固定为:ControlSet001\Control\ComputerName\ComputerName
所以可以直接利用这个注册表来print出来,有些系统版本注册表不一样的话一般用到hivlist来看注册表
4-2-20 利用hashdump和mimikatz破解账户密码
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 hashdump
可以看到administrator和test的账户密码是空密码,admin的则是有数据的。
补充:Windows的密码是NTLM加密,并不是MD5,所以在进行爆破的时候可以找在线的网站或者利用hashcat进行爆破,要注意是NTLM类型。
如果装了mimikatz插件的可以直接破解出明文的密码,这边不知道为啥没出来很奇怪。
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 mimikatz
