volatility(win64)

1.下载

volatility

下载地址:(我下载的版本2.6,并把名字稍微改了一下)

Release Downloads | Volatility Foundation

windows版

2.使用

1.查看基本信息

查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起

例如:

打开终端,输入命令,

./volatility -f memory.img imageinfo

可以看到各种信息,标出的几个是比较重要的

2.查看进程

./volatility -f memory.img --profile=Win2003SP1x86 pslist

profile具体内容根据实际文件为准,pslist应该比较好理解就是进程的列表的意思。

tips:

把pslist可以替换成完成不同的功能

psxview : 可查看一些隐藏进程

pstree : 以树的形式来列出正在进行的进程,不会显示出隐藏或未链接的进程(套神说的)

psxview:

pstree:

3.查看镜像cmd的历史命令

./volatility -f memory.img --profile=Win2003SP1x86 cmdscan

4.查看指令的输入和输出

./volatility -f memory.img --profile=Win2003SP1x86 consoles

5.列出所有命令行下运行的程序

./volatility -f memory.img --profile=Win2003SP1x86 cmdline

这个命令的输出内容就很多了

6.显示进程权限

./volatility -f memory.img --profile=Win2003SP1x86 privs

这个命令输出内容巨多

7.显示环境变量

 ./volatility -f memory.img --profile=Win2003SP1x86 envars

8.找出所有文件

./volatility -f memory.img --profile=Win2003SP1x86 filescan

9.找特定名称的文件

搭配grep.exe使用

下载grep.exe并放到当前文件夹下

./volatility -h memory.img --profile=Win2003SP1x86 filesacn | findstr "flag"

10.找特定类型的文件

./volatility -h memory.img --profile=Win2003SP1x86 filescan | ./grep.exe -E “png”

11.通过相应的进程能直接dump出相关的文件

./volatility -f memory.img --profile=Win2003SP1x86 memdump -p xxx(PPID) --dump-dir=./

./volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./

因为前面显示进程的命令中有1992这个PPID

再随便dump一个看看

./volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1096 --dump-dir=./

12.查看系统正在运行的编辑本

./volatility -f memory.img --profile=Win2003SP1x86 editbox

13.导出系统的注册表

./volatility -f memory.img --profile=Win2003SP1x86 dumpregistry --dump-dir=./registry/

14.查看并导出屏幕的截屏

【需要安装PIL库】

安装PIL库:

win+R,输入cmd,打开终端,输入

pip install PIL

或者

easy_install Pillow

实在不行自行百度,这里不再赘述

./volatility -f memory.img --profile=Win2003SP1x86 dumpregistry --dump-dir=./registry/ screenshot -D ./

15.查看剪贴板数据

./volatility -f memory.img --profile=Win2003SP1x86  clipboard

加一个-v可以导出相关的数据

./volatility -f memory.img --profile=Win2003SP1x86  clipboard -v

这个文件没有剪贴板内容

16.查看浏览器的历史记录

./volatility -f memory.img --profile=Win2003SP1x86 iehistory

17.查看用户名

./volatility -f memory.img --profile=Win2003SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

18.打印出最后登录的用户

./volatility -f memory.img --profile=Win2003SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

19.获取各个账号的MD5加密密码

1.hivelist找出获取system 的 virtual 地址,SAM 的 virtual 地址,

./volatility -f memory.img --profile=Win2003SP1x86 hivelist

2.使用hashdump -y SYSTEM_virtual -x SAM_virtual.

这个是SAM用户,就搞他

但是没找到SYSTEM用户

就无法继续

借一个图

./volatility -f memory.img --profile=Win2003SP1x86 hashdump -y xxx(SAM的virtual) -s xxx(SYSTEM的virtual)

能不能解出来靠运气

3.例题

[HDCTF2019]你能发现什么蛛丝马迹吗

BUU-page5-T6

参考:参考:(9条消息) volatility内存取证分析与讲解(持续更新)_小蓝同学`的博客-CSDN博客_volatility参数

windows下的volatility取证分析与讲解的更多相关文章

  1. 【windows下进程searchfilterhost.exe分析】

    searchfilterhost.exe [进程信息] 进程文件: searchfilterhost.exe 进程名称: n/a 英文描述: searchfilterhost.exe is a pro ...

  2. windows下安装awstats来分析apache的访问日志

    一.啰嗦两句 之前在Windows下用Apache时,也曾经配置过Awstats,然后换了工作,改用Linux+nginx,渐渐把Apache忘记了.又换了工作,又得用Apache,这回版本更新到2. ...

  3. windows下的虚拟内存分配分析

    让我们从原始的进程创建开始分析吧.当进程创建后,操作系统给该进程分配4GB的虚拟地址空间,这部分虚拟内存是你的应用程序看的到的区域(注意很大一部分是不能访问的,比如:内核区域,这部分加载了操作系统中的 ...

  4. windows下安装php性能分析工具XHProf

    一.安装扩展 下载XHProf扩展:http://dev.freshsite.pl/php-extensions/xhprof.html 放入扩展文件:下载后解压出.dll文件,拷贝它到php的ext ...

  5. Windows下使用doxygen阅读和分析C/C++代码

    Windows下使用doxygen阅读和分析C/C++代码 转自:http://blog.sina.com.cn/s/blog_63d902570100gwk6.html 虽然使用各种IDE或者Sou ...

  6. QTimer源码分析(以Windows下实现为例)

    QTimer源码分析(以Windows下实现为例) 分类: Qt2011-04-13 21:32 5026人阅读 评论(0) 收藏 举报 windowstimerqtoptimizationcallb ...

  7. 深刻:截获windows的消息并分析实例(DefWindowProc),以WM_NCHITTEST举例(Windows下每一个鼠标消息都是由 WM_NCHITTEST 消息产生的,这个消息的参数包含了鼠标位置的信息)

    1,回调函数工作机制 回调函数由操作系统自动调用,回调函数的返回值当然也是返回给操作系统了. 2,截获操作系统发出的消息,截获到后,将另外一个消息返回给操作系统,已达到欺骗操作系统的目的. 下面还是以 ...

  8. 【已解决】Windows下 MySQL大小写敏感 解决方案及分析

    Windows下 MySQL大小写敏感配置 zoerywzhou@163.com http://www.cnblogs.com/swje/ 作者:Zhouwan 2017-3-27 最近在window ...

  9. Windows下return,exit和ExitProcess的区别和分析

    通常,我们为了使自己的程序结束,会在主函数中使用return或调用exit().在windows下还有ExitProcess()和TerminateProcess()等函数. 本文的目的是比较以上几种 ...

随机推荐

  1. php pdf添加水印(中文水印,图片水印)

    1.下载软件包 链接:https://pan.baidu.com/s/1cah-mf-SCtfMhVyst_sG8w&shfl=sharepset 提取码:ld8z 2.下载pdf_water ...

  2. LGP2490题解

    有点儿神秘? 根据他这个题意说的,白子向右的第一个一定是对应的黑子啊. 所以棋子的绝对位置是不重要的,我们只需要考虑白子和黑子的相对位置,然后考虑用 GF 来拼凑状态就好了. 下面的 \(k\) 是题 ...

  3. 基于AE的基础的GIS系统的开发

    一个GIS系统需要的基本功能的代码 一些基本的拖拽操作就不讲了,直接上代码吧.   1. 打开.mxd文件 基本思路:判断mxd路径存在→打开mxd文件 string filename = Appli ...

  4. Arcmap软件报错:This application cannot run under a virtual machine arcmapr, 但是你并没有使用虚拟机

    在任务栏搜索"启用或关闭 windows 功能",取消 "适用于 Linux 的 Windows 子系统" (有可能还需要 取消 "虚拟机平台&quo ...

  5. 4月2日 python学习总结

    昨天内容回顾: 1.迭代器 可迭代对象: 只要内置有__iter__方法的都是可迭代的对象 既有__iter__,又有__next__方法 调用__iter__方法==>得到内置的迭代器对象 调 ...

  6. Pulsar 也会重复消费?

    背景 许久没有分享 Java 相关的问题排查了,最近帮同事一起排查了一个问题: 在使用 Pulsar 消费时,发生了同一条消息反复消费的情况. 排查 当他告诉我这个现象的时候我就持怀疑态度,根据之前使 ...

  7. [XMAN筛选赛](web)ctf用户登录

    0x00 题目概述 就只写了几道web题,有些考察点比较明显,所以个人感觉来说web总体不难. 一航的writeup写得差不多,我这写个他没写的wirteup. 看题: 链接点进去是一个登录页面,习惯 ...

  8. 使用C#语言,如何实现EPLAN二次开发 Api插件及菜单展示

    上期我们谈谈了谈EPLAN电气制图二次开发,制图软件EPLAN的安装和破解,今天我们来说说使用C#语言,如何实现Api插件及菜单,今天它来了!!! 关于项目环境的搭建请参考:https://blog. ...

  9. corn计划周期任务

                                                                             corn计划任务 1.计划任务有四种方式   cron ...

  10. 什么是sql注入?如何有效防止sql注入?

    一.什么是sql注入 利用程序员的代码bug,将输入的参数绕过校验并在系统中当做代码运行,从而攻击系统. 二.如何避免sql注入 1.对sql语句进行预编译 PreparedStatement类可以对 ...