IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> MISC之内存取证_Kali环境下使用volatility -> 正文阅读

[系统运维]MISC之内存取证_Kali环境下使用volatility

前言

1、本文所需工具及题目:点击下载
2、所作操作均使用root用户执行

一、安装volatility及相关依赖文件

volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。
1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master
2、将pac.zip文件中的内容分别复制到/usr/local/lib/python2.7/dist-packages/目录下
3、将题目解压后同样放置于home/root/volatility-master路径下

一、例题memory_1

1、执行如下命令,查看系统版本信息。重点看系统的版本,最有可能是WindowsXP

python2 vol.py -f memory.raw imageinfo

示例:
在这里插入图片描述
2、查看系统运行的进程

python2 vol.py -f memory.raw --profile=WinXPSP2x86 pslist      #列出进程
python2 vol.py -f memory.raw --profile=WinXPSP2x86 psscan      #列出进程

示例:
在这里插入图片描述
3、查看CMD进程,看系统调用了哪些进程

python2 vol.py -f memory.raw --profile=WinXPSP2x86 cmdscan     #查看cmd命令历史
python2 vol.py -f memory.raw --profile=WinXPSP2x86 cmdline     #查看cmd命令历史
python2 vol.py -f memory.raw --profile=WinXPSP2x86 consoles    #查看cmd命令历史

示例:可以看到一些敏感信息
在这里插入图片描述
4、查看ie浏览器历史记录,可以找到一些蛛丝马迹

python2 vol.py -f memory.raw --profile=WinXPSP2x86 iehistory

示例:
在这里插入图片描述
5、通过关键字查找文件,使用反斜杠进行转义。可以找到关键的文件,及对应的id

python2 vol.py -f memory.raw --profile=WinXPSP2x86 filescan | grep ".txt\|.doc\|.zip\|.png"

示例:有一个.zip文件可疑,待会将其导出
在这里插入图片描述
6、文件导出,-Q参数是文件id;-D参数是导出目录

python2 vol.py -f memory.raw --profile=WinXPSP2x86 dumpfiles -Q 0x00000000022352c8 -D /home/kali

示例:
在这里插入图片描述
7、进程信息导出,-p参数是进程的PID;-D参数是导出目录

python2 vol.py -f memory.raw --profile=WinXPSP2x86 memdump -p 596 -D /home/kali

示例:
在这里插入图片描述

8、其他相关命令

python2 vol.py -f memory.raw --profile=WinXPSP2x86 screenshot --dump-dir=/home/kali    #屏幕截图
python2 vol.py -f memory.raw --profile=WinXPSP2x86 userassist     #查看进程运行次数
python2 vol.py -f memory.raw --profile=WinXPSP2x86 notepad        #查看notepad编辑内容
python2 vol.py -f memory.raw --profile=WinXPSP2x86 clipboard      #查看粘贴板内容
python2 vol.py -f memory.raw --profile=WinXPSP2x86 svcscan        #查看服务

解题步骤:
1、查看notepad编辑内容,找到key1
2、导出wow.txt文件,找到key2
3、查看cmdscan,找到了key3
4、导出secrect.png文件,使用winhex修改图片高度得到key4
5、导出NTE20Q===.zip文件,爆破出密码为5169得到key5
最终得到flag为flag{7h3_St3g0_1s_5oc00l}

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-08-18 13:05:48  更:2021-08-18 13:06:16 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 19:50:36-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计