Volatility2.6内存取证工具安装及入门-2

简介: Volatility2.6内存取证工具安装及入门

Volatility2.6内存取证工具安装及入门-1

https://developer.aliyun.com/article/1501454


4-2-8. 跟踪文件路径,大小,最后修改时间和最后“执行”时间.

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 shimcache

4-2-9. 显示环境变量

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 envars

4-2-10. 文件扫描

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 filescan

#查找文件,可搭配 grep | “xxx” / filescan | grep -E “flag”

4-2-11. 通过16进制位置dump出相关的文件

#参数:dumpfiles -Q [16进制位置] -D 保存目录

ython2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003b33fb70  -D . 

dump出相关文件后可以进行下一步操作

4-2-12. 通过进程号dump出相关的文件

#参数:memdump -p [PID] -D 保存目录

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p 2368 -D .

4-2-13. 查看系统正在运行的编辑本

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 editbox

4-2-14. 导出系统的注册表

#参数:dumpregistry -D 保存目录

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpregistry -D .

4-2-15. 导出镜像当前截屏【需要安装PIL库】

#参数:screenshot -D 保存目录

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 screenshot -D .

在没有头绪的时候可以看一下截屏,说不定有意外收获可以看到打开的窗口

4-2-16. 查看剪贴板数据

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 clipboard

这个镜像貌似剪切板没数据。

4-2-17. 查看浏览器的历史记录

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 iehistory

4-2-18. 查看系统账户

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

4-2-19 查看计算机名

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"  

这边大多数系统的注册表名是固定为:ControlSet001\Control\ComputerName\ComputerName

所以可以直接利用这个注册表来print出来,有些系统版本注册表不一样的话一般用到hivlist来看注册表

4-2-20 利用hashdump和mimikatz破解账户密码

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 hashdump

可以看到administrator和test的账户密码是空密码,admin的则是有数据的。

补充:Windows的密码是NTLM加密,并不是MD5,所以在进行爆破的时候可以找在线的网站或者利用hashcat进行爆破,要注意是NTLM类型。

如果装了mimikatz插件的可以直接破解出明文的密码,这边不知道为啥没出来很奇怪。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 mimikatz

26532c598fe65f031e0ff7f1a083f824_5b8e69e1a44d48e799672dab8a4c1c8e.png

相关文章
|
28天前
|
Java 数据库连接 测试技术
SpringBoot入门 - 添加内存数据库H2
SpringBoot入门 - 添加内存数据库H2
39 3
SpringBoot入门 - 添加内存数据库H2
|
1月前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
52 4
SpringBoot入门(4) - 添加内存数据库H2
|
25天前
|
JavaScript
如何使用内存快照分析工具来分析Node.js应用的内存问题?
需要注意的是,不同的内存快照分析工具可能具有不同的功能和操作方式,在使用时需要根据具体工具的说明和特点进行灵活运用。
39 3
|
2月前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
36 2
SpringBoot入门(4) - 添加内存数据库H2
|
1月前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
68 13
|
1月前
|
Java 数据库连接 测试技术
SpringBoot入门(4) - 添加内存数据库H2
SpringBoot入门(4) - 添加内存数据库H2
47 4
|
1月前
|
Web App开发 JavaScript 前端开发
使用 Chrome 浏览器的内存分析工具来检测 JavaScript 中的内存泄漏
【10月更文挑战第25天】利用 Chrome 浏览器的内存分析工具,可以较为准确地检测 JavaScript 中的内存泄漏问题,并帮助我们找出潜在的泄漏点,以便采取相应的解决措施。
261 9
|
2月前
|
存储 监控 算法
JVM调优深度剖析:内存模型、垃圾收集、工具与实战
【10月更文挑战第9天】在Java开发领域,Java虚拟机(JVM)的性能调优是构建高性能、高并发系统不可或缺的一部分。作为一名资深架构师,深入理解JVM的内存模型、垃圾收集机制、调优工具及其实现原理,对于提升系统的整体性能和稳定性至关重要。本文将深入探讨这些内容,并提供针对单机几十万并发系统的JVM调优策略和Java代码示例。
60 2
|
2月前
|
程序员 C语言 C++
C++入门5——C/C++动态内存管理(new与delete)
C++入门5——C/C++动态内存管理(new与delete)
87 1
|
28天前
|
缓存 Prometheus 监控
Elasticsearch集群JVM调优设置合适的堆内存大小
Elasticsearch集群JVM调优设置合适的堆内存大小
232 1

相关课程

更多