volatility命令使用 misc部分取证解题(部分内存取证)

已于 2025-03-03 16:43:30 修改
阅读量4k 收藏 18
点赞数 2
分类专栏: misc 取证 volatility 文章标签: java linux 开发语言
于 2021-07-13 13:38:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45791884/article/details/118698117
版权

使用命令:Volatility -f<文件名> --profile=<配置文件><插件>[插件参数]

一般思路步骤

  • 列举进程 查找需要的信息
  • Volatility -f name --profile=Winxpap2x86  pslist
  • 创建文件夹 把需要保存的文件提取

将内存中的某个进程数据以dup的格式保存出来

volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录]

  •  mkdir ctf
  • volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p 1464 -D ctf/
  • 使用EFDD将获取的key(dump的文件)和破解文件结合得到flag

二般思路步骤

  1. 老规矩查看内存文件的信息 imageinfo
  2. 得到配置文件后,进行查询:查看开放端口以及连接情况 netscan、查看系统注册表(获取主机名、IP地址等)hivelist、都注册表信息printkey
  3. 查看剪切板中的信息(获取复制剪切内容)clipboard
  4. 查看进程信息 plist 包括正在运行的 暂停运行的会在后面显示展厅时间、显示隐藏/终止的进程 psscan、把进程以树的形式显示pstree 与o保存
  5. 查看dll文件(但发现可疑进程,可进行深入探究) dlllist -p[PID]
  6. 查看ie历史 iehistory
  7. Filescan 或者和grep使用查找需要的文件 然后n保存
  8. Cmdscan
  9. 查看进程命令行参数(具体一些可疑进程的参数指令)cmdline
  10. 查看notepad文件(在pslist中查看进程中的notepad.exe.中的内容) notepad
  11. 有时候得到信息不一定就是他,毕竟老套娃了 我们可能需要获取密码 hash  hashdum
  12. 保存文件dmp
  13. 回到注册表,打印对应的表的数据 hivedump -o 虚拟地址
  14. filescan文件 然后转储内存中的文件 打印出filescan出来的文件 dumpfiles -q 偏移地址 -D路径
  15. Pslist查看进程 可以转储内存中的进程的exe文件 procdump -p -D路径

常用命令

volatility -f name imageinfo  查看文件/内存镜像的信息 比如系统版本、硬件构架等

Volatility --info                       查看已添加profile和插件信息

volatility -f example.raw --profile=Win7SP1x64 filescan | grep -E'txt|png|jpg|gif|zip|rar|7z|pdf|doc'               扫描文件

volatility -f example.raw --profile=Win7SP1x64 filescan | grep TMP_User                                             #搜索指定文件夹下的文件

volatility -f zy.raw --profile=WinXPSP2x86 dumpfiles -Q 0x2456028 --dump-dir=./           使用dumpfiles提取文件 -Q的参数为 内存地址--dump-dir的参数为导出文件的目录

Volatility -f name --profile=?? Volshell  包含许多shell命令 其中  例如dt(“_PEB”)

Volatility -f name --profile=Winxpap2x86  hivelist 列举缓存在内存的注册表

Volatility -f name --profile=Winxpap2x86 hivedump -o 注册表的virtual地址              打印出注册表中的数据

Volatility -f name --profile=Winxpap2x86 printkey -K “SAM\Domains\Account\Users\Names”获取SAM表中的用户,可以看到有四个用户(查看系统用户名)

获取最后登录系统的账户:

volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

提取出内存中记录的 当时正在运行的程序有哪些,运行多少次,最后一次运行的时间等信息:

volatility -f mem.vmem --profile=WinXPSP2x86 userassist

volatility -f mem.vmem kdbgscan 和imageinfo只适用于windows的镜像 可以扫描文件的profile值 通常结果多个,但只有一个是完全正确的

可以使用二进制编译器hexeditor将保存的dmp文件打开并进行取证工作

Hexeditor 1736.dmp

或者

你还可以使用 strings 这个工具将它的字符串打印出来。

例:

strings 1736.dmp > 1736.txt

strings 1608.dmp > 1736.txt | grep shellcode

提取内存中保留的 cmd 命令使用情况

volatility -f mem.vmem --profile=WinXPSP2x86 cmdscan

volatility -f mem.vmem --profile=WinXPSP2x86 cmdline

获取到当时的网络连接情况

volatility -f mem.vmem --profile=WinXPSP2x86 netscan

获取 IE 浏览器的使用情况 :

volatility -f mem.vmem --profile=WinXPSP2x86 iehistory

获取内存中的系统密码,我们可以使用 hashdump 将它提取出来

volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)

volatility -f mem.vmem --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe16aab60

最大程度上将内存中的信息提取出来,那么你可以使用 timeliner 这个插件。它会从多个位置来收集系统的活动信息 。

volatility -f mem.vmem --profile=WinXPSP2x86 timeliner

volatility -f mem.vmem --profile=Win7SP1x86 timeliner | grep Company_Files #查找指定文件夹下的文件的访问详细情况,可以导出 > 文件

显示每个进程的加载dll列表

Volatility -f name -profile = Win7SP0x86 dlllist> dlllist.txt

常见的插件

查看当前展示的 notepad 文本

volatility notepad -f file.raw --profile=WinXPSP2x86

查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容

volatility hashdump -f file.raw --profile=WinXPSP2x86

查看所有进程

volatility psscan -f file.raw --profile=WinXPSP2x86

扫描所有的文件列表

volatility filescan -f file.raw --profile=WinXPSP2x86

扫描 Windows 的服务

volatility svcscan -f file.raw --profile=WinXPSP2x86

查看网络连接

volatility connscan -f file.raw --profile=WinXPSP2x86

查看命令行上的操作,查看终端输入历史

volatility cmdscan -f file.raw --profile=WinXPSP2x86

根据进程的 pid dump出指定进程到指定的文件夹dump_dir

volatility memdump -p 120 -f file.raw --profile=WinXPSP2x86 --dump-dir=dump_dir

dump 出来的进程文件,可以使用 foremost 来分离里面的文件,用 binwak -e 经常会有问题,需要重新修复文件

对当前的窗口界面,生成屏幕截图

volatility screenshot -f file.raw --profile=WinXPSP2x86 --dump-dir=out

复制剪切板:

volatility -f name --profile=Win7SP1x64 clipboard
volatility -f name --profile=Win7SP1x64 dlllist -p 3820

flag字符串扫描

strings -e l 2616.dmp | grep flag

安全进程扫描

volatility -f name --profile=Win7SP1x64 psscan

根据注册表查询信息

1.计算机安装windows的时间

在Microsoft路径下寻找系统信息。

volatility -f  memdump.mem --profile=Win7SP1x86_23418 -o 0x8bd898e8 printkey -K "WOW6432Nod\Microsoft"

printkey: 打印注册表项及其子项和值

-o 指定注册表的virtual地址

一般系统信息存在于

我们可以指定 -o virtual 地址去printkey 获取key

之后一步一步来即可

InstalledDate对应的键值,但是可以通过Last updated进行大致判断。正常的系统信息会记录在如下路径:(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionInstallDate)。

2.计算机名称

在注册表SYSTEM里面存在计算机名称

具体位置:ControlSet001\Control\ComputerName\ComputerName

我们可以使用命令:注册表解析

volatility -f memdump.mem  --profile=Win7SP1x86_23418 -o 0x8bc1a1c0 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

3.查看tcp

volatility -f memdump.mem  --profile=Win7SP1x86_23418  timeliner | grep TCP

4.外接存储设备的取证 -USB

1.首先使用命令volatility -h | grep service查找与设备相关的命令。

volatility -h | grep service

2.然后使用设备扫描命令查询是否有USB使用痕迹

volatility -f memdump.mem --profile=Win7SP1x86_23418 svscan | grep usb

3.在虚拟地址内存中查找key,在注册表中查询USB设备使用情况(注册表中与USB设备相关的路径为:ControlSet001\Enum\USBSTOR

路径:ControlSet001\Enum\USBSTOR

volatility -f memdump.mem --profile=Win7SP1x86_23418  -o 0x8bc1a1c0 printkey -K "ControlSet001\Enum\USBSTOR"

DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。

 知识延伸

        1、 本文未用到dll,注册表等取证使用方法,其他取证方法我附上网址供大家学习

         Cyber Security Posters | SANS Institute

         2、制作内存镜像

         DumpIt 是一款绿色免安装的 windows 内存镜像取证工具。利用它我们可以轻松地将一个系统的完整内存镜像下来。

     只要双击打开DumpIt.exe输入y等待一会出现Success就是dump成功。

     默认情况下,文件名是主机名(主机名),其后是执行映像过程的日期。该文件默认保存为“raw”格式

解题一:

使用volatility提取文件中的密码文件dump,结合EFDD将题目的文件和dump来得到flag

步骤大致为先看进程 pslist,从进程名中提取相关的内存文件

解题二:

大概还有使用testdisk对删除的文件的恢复 或者创建

输入:testdisk xxx 即可进入软件内部操作

Proceed:继续

Quit:退出,关闭

[ Analyse ] 分析正确的分区结构并找到丢失的分区表

[ Advanced ] 文件系统工具

[ Geometry ] 更改硬盘类型

[ Options ] 修改高级选项

[ Quit ] 返回到硬盘检测

[ Type ] :改变文件系统的类型,这种修改并不会真正改变硬盘上的真正格式。

[Superblock] :列出超级块,这是文件系统的基本元数据。

[ List ] :列出所有文件,并复制(恢复)出来

[Image Creation] :对当前分区创建镜像文件

[ Quit ]:退出,返回

红色文件就表示已经删除的文件。当然你也可以选择一个红色的目录,表示恢复整个目录。

解题思路三

wireshark解题

扩展:从内存还原文字

1、微软的一款dump工具 procdump 

//这个工具很有用,大部分应用在内存取证,查找sam

procdump -ma notepad.exe notepad.dmp  # 参数m代表内存 a是all

2、strings工具

strings notepad.dmp > notepad.txt

先procdump dump下来,strings查看

扩展:从内存还原图片

procdump -ma mspaint.exe mspaint.dmp  # 把画板程序dump出来

把后缀名改成.data

mv mspaint.dmp mspaint.data

在gimp中打开mspaint.data,通过不断调节各项参数进行图片显示

从内存中提取明文密码

procdump -ma lsass.exe lsass.dmp  #dump下来先

待续

volatility内存取证
yuyu
04-21 1800
本文主要讲述volatility软件的安装与使用
MISC内存取证_Kali环境下使用volatility
dbsod007520的博客
08-18 6656
前言 1、本文所需工具及题目下载路径: 2、所作操作均使用root用户执行 一、安装volatility及相关依赖文件 volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。 1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master 2、将pac.zip文件中的内
kali中安装内存取证工具volatility
weixin_62024248的博客
04-21 954
因为kali自带的pip都是3.0版本的。所以需要手动安装基于python2的pip。# 下载 get-pip.py# 安装 pip出现如图代表安装成功。
内存取证-Volatility安装使用以及一些CTF比赛题目
Bnessy
04-02 3万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
Volatility工具学习
qq_38933606的博客
04-22 415
其中较大的差别在于Volatility3抛弃了构建起来较为复杂的 profile,转而使用符号表。而由于Linux 版本很多很杂,并没有提供非常全面的符号表,想要使用的话必须使用Volatility3在用法上与Volatility差异不大,只是支持的参数列表发生了较大变化,可以使用。当然,如果系统信息确定的情况下,也可以直接使用内置的配置文件。库未找到等等,解决方案都可以在网上找到,这里就不一一赘述了。的配置文件无法分析该系统的内存快照,需要手动构建你自己的。正常情况下,完成以上步骤后,就可以使用
Volatility使用教程
weixin_46729014的博客
12-05 1079
​​ 在这得到文件可能所属的系统信息⚠️如果最后提交的是时间,系统默认是格林尼治时间,要修改为东八区时间–>格林尼治时间+8小时。
内存取证-volatility工具的使用 (史上更全教程,更全命令
热门推荐
路baby的博客
10-20 10万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Volatility使用与实战
WEB渗透测试 从入门到萌新
03-29 6118
一、安装Volatility 下载Volatility 2.6 Release 下载下来的文件放到/usr/local目录下,用户自己编译的软件默认会安装到这个目录下(放可执行文件也没问题吧) 1、解压命令:unzip FileName.zip 2、文件夹: mkdir3、mv 改名volatility //有可能会权限失败 那就单独把文件拿出来 使用 添加环境变量 echo $PATH 直接使用 二、案列实战 使用imageinfo插件来猜测dump..
内存取证-volatility工具的使用
baynk的博客
05-11 2万+
0x00 volatility介绍 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。 目前已经有一段时
CTF竞赛Misc类别高频面试题汇总:涵盖隐写术、流量分析、编码加密与内存取证技术要点了文档的主要内容
05-13
内存取证部分讲解了使用Volatility进行系统信息检测、进程查看、命令行历史查找、文件提取等操作。最后给出了一些高频实战题示例。 适合人群:对CTF竞赛感兴趣的安全研究人员、白帽黑客以及信息安全领域的从业者。 ...
【CTF-Misc领域】基于多种工具的图片隐写分析与内存取证技术详解:从文件属性到十六进制数据解密及隐写检测方法综述
最新发布
05-20
对于内存取证,文章介绍了Volatility工具的安装与使用,包括获取内存镜像信息、提取进程内存、查找和提取文件、查看命令历史和浏览器历史记录等具体操作。此外,还简要提及了其他隐写工具如WaterMarkH、F5、Outguess...
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
NSSCTF - Misc - 【鹏城杯 2022】简单取证
12-12
本题“NSSCTF - Misc - 【鹏城杯 2022】简单取证”便是这样一道考验参赛者综合能力的问题,它要求解题者掌握内存取证技术、逆向工程技能、脚本编写能力以及基本的取证分析技巧。具体来说,本题涵盖了以下几个关键...
[ctf Misc][RoarCTF2019]forensic +内存取证
ShenZ的博客
09-09 2544
这题蛮鬼的,就,没有捷径,捷径导出文件一定是坏的 附件:mem.raw [RoarCTF2019]forensic 1.volatility处理 λ volatility_2.6_win64_standalone.exe -f xxx7\Compressed\mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based o
volatility使用
weixin_30501857的博客
02-03 1059
volatility取证使用----windows内存 简介 kali下默认安装 可以对windows,linux,mac,android的内存进行分析 内存文件的准备 Win2003SP2x86下使用工具dumpit获取到了内存文件,保存为ROOT-6B78B0CA4D-20190202-044824.raw 其实不光.raw .vmem .img都是可以的 获取基本信息 volat...
volatility使用
qq_45951598的博客
12-09 2449
1、查看基本信息,根据查到的信息确定profile的值 volatility -f 文件.vmem imageinfo 2、指定profile,使用具体的命令 iehistory 是看浏览器的进程,pslist是ps命令(也可以用psscan),等等 volatility -f BOOM-6452e9b9.vmem --profile=Win7SP1x64 iehistory ...
内存取证——volatility学习
m0_75236662的博客
05-27 2473
在做计算机最后两道题目碰到了MP3格式的镜像,分析发现是计算机内存,要进行内存取证。现在内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件通过盘古石比赛了解了内存取证类型的题目,在看别人题解的时候发现volatility为主流分析工具,安装后大致了解了操作流程和功能点。
Volatility使用笔记
yyk82p的博客
12-19 2024
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态
Volatility内存取证:核心命令详解
"本文将详细介绍Volatility工具在内存取证中的常用命令,包括检查内存镜像信息、获取进程信息、提取进程、查看注册表、扫描文件、提取缓存文件、获取CMD历史输入、屏幕快照、用户账户信息以及网络连接状态等关键操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值