内存取证 Volatility

最新推荐文章于 2024-10-12 21:57:39 发布
最新推荐文章于 2024-10-12 21:57:39 发布
阅读量1.1k 收藏 25
点赞数 13
分类专栏: CTF练习记录 文章标签: 网络安全 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/orchid_sea/article/details/136376819
版权

文章目录


内存分析工具 volatility,有Volatility2和Volatility3两种,分别基于Python2和Python3环境运行。说是一般Volatility2比Volatility3好用,所以我也选择的Volatility2版本。
在这里插入图片描述
一般kali里面兼容了python2和Python3,但是pip命令执行的都是python3环境,没有配置pip2,因此需要自己下载安装。
在/usr/bin目录下查看关于python的链接情况

安装工具volatility和插件mimikatz

参考链接:https://blog.youkuaiyun.com/qq_73722777/article/details/132891008

  1. kali里面配置Python2对应的pip2
    下载pip2 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
    安装pip2 python2 get-pip.py
    查看版本 python2 -m pip -V

  2. pip2安装依赖库
    更新pip2 pip2 install --upgrade setuptools
    安装2个库
    pip2 install construct==2.10.54
    pip2 install pycryptodome

  3. 安装反编译库distorm3
    下载链接:https://github.com/vext01/distorm3
    可以下载压缩包后解压,也可以直接使用git clone下载
    git clone https://github.com/vext01/distorm3
    下载好后进入文件夹编译工具: python2 setup.py install

  4. 安装volatility
    官网下载地址:https://www.volatilityfoundation.org/releases
    Github下载链接:https://github.com/volatilityfoundation/volatility
    下载好后进入文件夹编译工具: python2 setup.py install
    查看帮助命令vol.py -h
    在这里插入图片描述

  5. 安装插件mimikatz
    Github下载链接:https://github.com/RealityNet/hotoloti/blob/master/volatility/mimikatz.py
    下载后拖入volatility/volatility/plugins/
    在这里插入图片描述

使用插件: vol.py --plugins=[plugins文件夹路径] -f [镜像文件路径] --profile=[操作系统] mimikatz

[陇剑杯 2021]内存分析

参考链接:https://blog.youkuaiyun.com/J_linnb/article/details/130399309

  1. 网管小王制作了一个虚拟机文件,让您来分析后作答:
    虚拟机的密码是_____________。(密码中为flag{xxxx},含有空格,提交时不要去掉)。得到的flag请使用NSSCTF{}格式提交。

  • 获取内存镜像的摘要信息vol.py -f 镜像文件 imageinfo
    在这里插入图片描述
    获取到该镜像的操作系统为:Win7SP1x64

  • 使用lsadump从注册表中提取LSA密钥信息vol.py -f Target.vmem --profile=Win7SP1x64 lsadump
    在这里插入图片描述

  • 也可以使用mimikatz提取vol.py -f Target.vmem --profile=Win7SP1x64 mimikatz --plugins=./volatility/plugins/
    在这里插入图片描述

第一问答案:NSSCTF{W31C0M3 T0 THiS 34SY F0R3NSiCX}

  1. 网管小王制作了一个虚拟机文件,让您来分析后作答:
    虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为_____________。(解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx},含有空格,提交时不要去掉)。得到的flag请使用NSSCTF{}格式提交。

  • filescan扫描,过滤关键词vol.py -f Target.vmem --profile=Win7SP1x64 filescan | grep CTF
    在这里插入图片描述发现HUAWEI P40的备份文件
    在这里插入图片描述

  • 提前第一个文件 vol.py -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 进程ID -D 放入的文件夹
    在这里插入图片描述在这里插入图片描述

  • unzip解压dat文件
    在这里插入图片描述

  • 下载解密脚本
    解压出来的文件中,有一个images0.tar.enc文件,是华为加密文件,需要使用解密脚本在这里插入图片描述
    解密脚本地址:https://github.com/RealityNet/kobackupdec
    在这里插入图片描述

  • 对备份文件解密
    进行解密:kobackupdec.py [-h] [-v] 用户密码 包含华为备份的文件夹路径 指定解压路径
    注意,指定解压路径时,必须是没有创建的文件夹,不然会报错。
    这里需要的用户密码就是上一题的Flag,将里面的空格改成下划线:W31C0M3_T0_THiS_34SY_F0R3NSiCX
    我使用解密脚本时,在kali里面一直报错,最后还是拖出来在Windows里面运行成功的
    py kobackupdec.py -vvv "W31C0M3_T0_THiS_34SY_F0R3NSiCX" "HUAWEI P40_2021-aa-bb xx.yy.zz" "HUAWEIFile"
    在这里插入图片描述
    解密出来有两个文件夹:
    在这里插入图片描述
    查看文件,找到flag图片:
    在这里插入图片描述
    第二问答案:NSSCTF{TH4NK Y0U FOR DECRYPTING MY DATA}

FTK Imager的强大功能:详细解读内存和磁盘镜像导出
m0_68483928的博客
07-16 5837
FTK Imager 是一款功能强大且免费的取证工具,由 AccessData 开发,被广泛应用于法务调查和信息安全领域。它的主要用途是快速创建和分析数据镜像,包括内存镜像和磁盘镜像,镜像挂载,文件预览和提取,验证数据的完整性。官方介绍 翻译:FTK Imager 是一款免费的数据预览和成像工具,用于通过创建计算机数据副本而不更改原始证据,以法医可靠的方式获取电子证据。官网:https://www.exterro.com/digital-forensics-software/ftk-imager。
内存取证2-volatility
最新发布
chinazgzx的博客
03-10 1208
内存取证是一种在计算机系统运行时获取内存数据并进行分析的技术,能获取到很多磁盘中没有的动态信息,对于调查系统异常、检测恶意软件等非常关键。Volatility 是一款开源的内存取证工具,支持 Windows、Linux、Mac OS X、Android 等系统。它通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态,可用于安全事件响应、恶意软件分析等场景。
内存取证分析基础,命令整理,包含vol2和vol3
ntrybw的博客
09-11 4201
C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址)-s(SAM的virtual值)此命令能获取密码的hash值,但是我个感觉没什么用,不如直接hashdump。netscan链接协议,本地地址,链接状态,,监听端口。
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
java应用内存镜像分析
准备文房四宝,写下 Hello world!
03-14 363
1.查询java进程id windows 下命令 tasklist /fi "imagename eq java.exe"   linux 下命令 ps -ax|grep java   2.使用jmap 命令生成镜像文件   Example: jmap -dump:live,format=b,file=heap.bin <pid> jmap -dump:f...
纵横网络靶场-内存镜像分析-工控业务流量分析
m0_68113265的博客
10-17 485
一黑客通过互联网扫描,发现某企业的互联网入口,经过一系列操作将工控机进行了锁定,你能通过分析内存镜像,破解黑客留下的登录密码吗,并找到FLAG,flag形式为 flag{}对Administrator的最后一段数字进行md5解密,得123456789,再进行md5加密的32位小写密文位flag。某工场在厂区安全检测时,检测到一段异常流量数据包,分析数据包中的异常,找到FLAG,flag形式为 flag{}该功能码用于读取离散输出(线圈)的状态。通常,它用于读取数字输出的状态,例如,获取开关或继电器的状态。
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证
2401_85013604的博客
05-15 1164
Win2016x64_14393 - Windows Server 2016 x64 的配置文件 (10.0.14393.0 / 2016-07-16)Win7SP1x64_23418 - Windows 7 SP1 x64 的配置文件 (6.1.7601.23418 / 2016-04-09)Win10x64_14393 - Windows 10 x64 的配置文件 (10.0.14393.0 / 2016-07-16)
PyPI 官网下载 | volatility3-2.0.0.tar.gz
02-11
资源来自pypi官网。 资源全名:volatility3-2.0.0.tar.gz
redline内存分析工具
12-13
Fireeye安全公司发布的一款针对内存分析的工具,可对内存数据进行整理和分析
volatility-2.6-win64-standalone.exe
12-13
volatility-2.6-win64-standalone.exe
volatility_2.6_lin64_standalone.zip
05-16
volatility_2.6_lin64_standalone.zip linux 版本,用于内存取证
volatility_2.6_win64system_standalone.rar
10-08
内存取证分析工具volatility windows版
Windows内存分析工具VMMap
微小冷的学习笔记
04-11 1463
【VMMap】是进程的内存分析工具,可显示进程的已提交虚拟内存类型明细,以及操作系统分配给这些类型的物理内存量。 除了内存使用情况的图形表示形式外,VMMap 还可显示摘要信息和详细的进程内存映射。 借助强大的筛选和刷新功能,可以识别进程内存使用情况的来源以及应用程序功能的内存成本。
内存映像分析工具_Java内存泄漏分析工具Memory Analyzer Tool
weixin_39607935的博客
01-21 339
一个大型的Java项目也许从开发到测试结束并可能不能未发现一些重大的问题,但是在生产环境中还是会出现一些非常棘手的问题,如内存泄漏直接导致服务宕机,遇到这样的问题对于一个经验尚浅的开发人员来说难度非常大,好的一点是JVM 能够记录下问题发生时系统的部分运行状态,并将其存储在堆转储 (Heap Dump) 文件中,从而为我们分析和诊断问题提供了重要的依据。要生存Heap Dump文件的前提是需要在服...
Volatility 2.6 Windows 64位系统独立版下载
gitblog_09759的博客
10-12 814
Volatility 2.6 Windows 64位系统独立版下载 Volatility2.6Windows64位系统独立版下载 本仓库提供了一个内存取证分析工具——Volatility的Windows 64位系统独立版资源文件下载。该工具在内存取证领域广泛应用,能够帮助安全研究人员和取证专家分析和提取内存中的数据 ...
取证工具volatility的下载、使用
ndjnddjxn的博客
06-12 2639
Volatility可以还原系统崩溃或重启前的运行状态,包括进程、网络连接、文件操作等,为取证人员提供重要的线索。:Volatility可以分析被恶意软件感染的系统内存,帮助取证人员识别恶意软件的行为、进程和可能的隐藏技术。:通过内存取证Volatility可能能够获取到用户输入到系统中的密码信息,这有助于在取证过程中破解密码。你运行命令的时候可能是你正在尝试使用Python 2的语法来运行一个期望Python 3语法的。的内存镜像文件进行分析,并导出进程ID为1234的进程的内存内容到。
使用内存取证volatility工具来解密内存中的bitlocker密码
03-09
<think>好的,我现在需要帮助用户了解如何使用Volatility工具解密内存中的BitLocker密码。首先,我得回忆一下BitLocker加密的基本原理以及Volatility工具的功能。BitLocker通常使用TPM或密码来加密驱动器,而在内存中可能会留下加密密钥的痕迹。Volatility是一个内存取证工具,可以分析内存转储文件,寻找敏感信息,比如加密密钥。 接下来,我应该考虑用户可能的步骤。首先,用户需要获取内存转储文件,比如通过物理访问或利用工具如FTK Imager或Belkasoft RAM Capturer。然后,使用Volatility分析该内存文件,寻找与BitLocker相关的密钥或密码。这可能涉及到特定的插件,比如bitlocker或hashdump,不过需要确认Volatility版本是否支持这些插件。 需要注意的是,不同版本的Volatility可能有不同的插件名称或用法,比如Volatility 2和3的区别。例如,在Volatility 3中,插件名称可能有所变化,用户需要根据版本调整命令。此外,内存中存在的密钥可能是主密钥或恢复密钥,需要正确识别和提取。 另外,用户可能需要将提取的密钥与BitLocker加密的驱动器结合使用,比如通过Dislocker等工具来解密驱动器。这里需要提醒用户注意法律和道德规范,确保操作合法。 过程中可能会遇到的挑战包括内存转储文件中没有残留的密钥,或者密钥已被覆盖,这时候可能需要其他方法。此外,正确安装Volatility及其依赖项也是关键,可能需要Python环境和其他库的支持。 总结一下,回答的结构应该是逐步引导用户完成内存获取、使用Volatility分析、提取密钥,然后应用密钥解密驱动器的过程。同时,强调法律合规性和操作中的注意事项,比如权限和版本差异。需要确保用户理解每一步的目的和可能遇到的问题,提供示例命令和解释,帮助用户实际操作。</think>使用Volatility工具解密内存中的BitLocker密码可以分为以下步骤: --- ### **1. 基础原理** - **BitLocker加密机制**:BitLocker通常将加密密钥(如`FVEK`或`VMK`)临时存储在内存中,以便快速访问加密数据。 - **内存取证**:通过分析物理内存转储文件(如`.raw`或`.mem`),可能提取残留的加密密钥。 --- ### **2. 准备工作** - **获取内存镜像**: - 物理访问目标机器时,使用工具如`FTK Imager`、`Belkasoft RAM Capturer`或`WinPmem`抓取内存。 - 示例命令:`winpmem_mini_x64_rc2.exe -o memory.raw` - **安装Volatility**: - Volatility 3需Python 3环境: ```bash git clone https://github.com/volatilityfoundation/volatility3.git cd volatility3 pip install -r requirements.txt ``` --- ### **3. 分析内存镜像** #### **步骤1:识别内存轮廓(Profile)** - 使用`windows.info`插件确定操作系统版本: ```bash python vol.py -f memory.raw windows.info ``` #### **步骤2:搜索BitLocker密钥** - **Volatility 3插件**: - 使用`bitlocker`插件扫描内存中的密钥: ```bash python vol.py -f memory.raw windows.bitlocker ``` - 输出示例: ```text Offset Key Type Key Data ---------------- ------------ -------------------------------- 0x000000007f... FVEK 2b3d...(64字节密钥) ``` - **注意事项**: - 密钥可能以`FVEK`(全卷加密密钥)或`VMK`(卷主密钥)形式存在。 - 若未找到密钥,可能因系统休眠或内存覆盖导致密钥丢失。 --- ### **4. 使用提取的密钥解密驱动器** - **工具选择**: - **Dislocker**(Linux):将密钥与BitLocker分区绑定,挂载为明文设备。 ```bash dislocker -V /dev/sda1 -k2b3d... -- decrypted_mount mount -o loop decrypted_mount/dislocker-file /mnt/bitlocker ``` - **Elcomsoft Forensic Disk Decryptor**(Windows):支持直接输入内存提取的密钥。 --- ### **5. 常见问题** 1. **密钥未找到**: - 检查是否使用管理员权限运行Volatility。 - 尝试其他插件如`hashdump`或`lsass`(可能捕获用户输入的密码)。 2. **版本兼容性**: - Volatility 2与3命令不同,例如Volatility 2需指定Profile: ```bash volatility -f memory.raw --profile=Win10x64_19041 bitlocker ``` 3. **法律与伦理**: - 仅对授权设备操作,遵守本地数据保护法律(如GDPR)。 --- ### **6. 扩展场景** - **休眠文件分析**:若内存镜像无密钥,可尝试解析`hiberfil.sys`(Windows休眠文件)。 - **TPM芯片配合**:若系统启用TPM+Pin,需同时提取PIN码(可能驻留在内存中)。 --- 通过以上步骤,可系统性地从内存中提取BitLocker密钥并解密驱动器。实际成功率受内存覆盖程度、系统状态(运行/休眠)等因素影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值