3.4 查看网络netscan
该命令无法在2003上使用
换一个win7的试试,获取win7的镜像信息:
获取网络:
./volatility -f win7.vmem --profile=Win7SP1x64 netscan
3.5 列出缓存在内存中的注册表 hivelist
./volatility -f win7.vmem --profile=Win7SP1x64 hivelist
3.6 扫描内存中的文件 filescan
./volatility -f win7.vmem --profile=Win7SP1x64 filescan
列出的文件会非常的多:
可以使用grep命令来查找自己需要的,需要加上-E参数
./volatility -f win7.vmem --profile=Win7SP1x64 filescan | grep -E "txt\|jpg\|png" # 在linux|mac情况下使用 volatility -f win7.vmem --profile=Win7SP1x64 filescan | findstr "txt\|jpg\|png" # 在Windows下使用
3.7 导出内存中的文件 dumpfiles
在这里需要3.6中找到的文件的内存地址来导出:
./volatility -f win7.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007ce78f20 -D ./ -u
-Q:指定文件在内存中的地址 -D:指定文件导出的地址 -u:指定原文件名导出(不咋好用)
在这里导出的时候,发现win7无法成功,导出的文件均为0kb
在这里使用winserver2003成功:
./volatility -f 2003.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x0000000002e58150 -D ./ -u
3.8 历史命令cmdscan
./volatility -f win7.vmem --profile=Win7SP1x64 cmdscan # 没记录 ./volatility -f 2003.vmem --profile=Win2003SP1x86 cmdscan
3.9 获取截图 screenshot
这里面的截图是黑白的:
./volatility -f win7.vmem --profile=Win7SP1x64 screenshot -D ./result
图片如下:
3.10 列出用户名 pringkey
./volatility -f 2003.vmem --profile=Win2003SP2x86 printkey -K "SAM\Domains\Account\Users\Names"
3.11 列出hash信息 hashdump
在这里也可以看到用户名信息
./volatility -f 2003.vmem --profile=Win2003SP2x86 hashdump
3.12 获取主机名 printkey
./volatility -f 2003.vmem --profile=Win2003SP2x86 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
3.13 获取系统浏览器历史 iehistory
./volatility -f win7.vmem --profile=Win7SP1x64 iehistory
3.14 列出PE|程序版本信息 verinfo
./volatility -f 2003.vmem --profile=Win2003SP1x86 verinfo
3.15 editbox 查看内存中记事本的内容
./volatility -f 2003.vmem --profile=Win2003SP1x86 editbox
4. 总结
volatility 这个工具大部分在取证、相关ctf赛上进行使用,当然,目前在vcenter上也可以用来提取某些机器的hash信息。
