0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Volatility取证大杀器

哆啦安全 来源:哆啦安全 作者:哆啦安全 2022-10-28 11:19 次阅读

Volatility取证大杀器

Volatility学习

Volatility是一款开源的内存取证软件,支持Windows、Mac、linux(kali下等等)环境下使用。并且分别有Volatility2与Volatility3两个大版本,依次需要在py2、py3的环境下进行使用,也要确保系统中已安装环境,安装pycrpto库函数。

学习方向(个人见解):对于常规比赛中的内存取证,多为查看计算机版本号、PID、PPID、SID、密码、时间等等之类的。不过就比赛而言,掌握基础命令,去解决比赛中的题目足矣,并且内存取证也有很多小工具、小程序,要与Volatility结合而用,包括与取证大师、仿真的虚拟机一同查看探究,我认为更多的要注重于时间线,可以得到很多意想不到的的结果。

其次,就现实生活中的工作当中,内存取证涉及方面宽、广、面大,需要我们共同去探究学习!最后希望大家共同进步!

下载安装

下载:官网下载即可

4e68de94-5663-11ed-a3b6-dac502259ad0.png

下载网址:

https://www.volatilityfoundation.org/releases(切记:下载时仍然保留)

4e87270a-5663-11ed-a3b6-dac502259ad0.png

4eb2bcf8-5663-11ed-a3b6-dac502259ad0.png

Windows环境下下载软件包

4ec1ba96-5663-11ed-a3b6-dac502259ad0.png

打开后

直接输入CMD打开使用(简单方便)

4ecc7e2c-5663-11ed-a3b6-dac502259ad0.png

学习使用,以2019年美亚杯个人赛镜像为准则

4f095d56-5663-11ed-a3b6-dac502259ad0.png

只需将镜像拖入 后续便可直接进行使用

4f78ee0a-5663-11ed-a3b6-dac502259ad0.png

命令学习

(本次多为Windows大环境下的使用)

判断未知内存镜像系统版本信息

命令:volatility -f 文件路径 imageinfo

4f916eee-5663-11ed-a3b6-dac502259ad0.png

kali下解析(命令相同 做一演示)

50a852a2-5663-11ed-a3b6-dac502259ad0.png

选择版本的型号

50bc8290-5663-11ed-a3b6-dac502259ad0.png

命令:pslist/pstree/psscan

非常有用的插件,列出转储时运行的进程的详细信息;显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出

pslist无法显示隐藏/终止进程

50d0c6f6-5663-11ed-a3b6-dac502259ad0.png

其次在volatility中寻找自己需要的信息是非常烦琐的,因此导出查看可以为我们提供便利

命令:volatility -f mem.vmem --profile=WinXPSP2 x86 pslist >pslist.txt

50fb46d8-5663-11ed-a3b6-dac502259ad0.png

命令:

volatility -f D:电子取证备赛memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

任何数据都可以导出,然后进行使用

比如:导出“查看服务(svcscan)”的数据

5107d394-5663-11ed-a3b6-dac502259ad0.png

5122b722-5663-11ed-a3b6-dac502259ad0.png

命令:hivelist:查看缓存在内存的注册表

51510a1e-5663-11ed-a3b6-dac502259ad0.png

命令:hashdump:获取内存中的系统密码

51652350-5663-11ed-a3b6-dac502259ad0.png

命令:getsids:查看SID

volatility -f bb.raw--profile=Win7SP1x86_23418 getsids

517fdb0a-5663-11ed-a3b6-dac502259ad0.png

打印机在注册表中的位置

借鉴:(助于大家学习)

https://www.doc88.com/p-9107655008710.html?r=1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents默认浏览器注册表

51ae46e8-5663-11ed-a3b6-dac502259ad0.png

取证例题

小明不小心把自己出题的flag在微信中发了出去,你能找到这个flag吗?附件下载提取码(GAME)

https://share.weiyun.com/YHLKL9tn

备用下载

https://pan.baidu.com/s/1ttL3WmlMn48RDXGCIy6VkQ

1、查看文件

51cd8cb0-5663-11ed-a3b6-dac502259ad0.png

2、思路整合

根据题意flag在微信当中因此思路为 Find wechat→导出数据库→破解→得到flag

四个可疑进程

51f16c70-5663-11ed-a3b6-dac502259ad0.png

3、寻找关键信息

52501892-5663-11ed-a3b6-dac502259ad0.png

5261a436-5663-11ed-a3b6-dac502259ad0.png

52687ef0-5663-11ed-a3b6-dac502259ad0.png

5282546a-5663-11ed-a3b6-dac502259ad0.png

5292e7bc-5663-11ed-a3b6-dac502259ad0.png

52bb6f16-5663-11ed-a3b6-dac502259ad0.png

4、导出

gift导出,发现出来dat文件,但是dat文件可以进行修改后缀。改为jpg格式,打开后发现如下。

5301e1b2-5663-11ed-a3b6-dac502259ad0.png

53256934-5663-11ed-a3b6-dac502259ad0.png

5338ec84-5663-11ed-a3b6-dac502259ad0.png

5、结合所学知识得到flag

使用010 editor进行修改图片大小

Passwd:

Nothing is more important than your life!

534b4c76-5663-11ed-a3b6-dac502259ad0.png

5364a7b6-5663-11ed-a3b6-dac502259ad0.png

解码:

c0778cb1c62f4e5bb246f8dfe5dec0117e4ae15959794d88886a4a2c5cde9354
base64解码网址:https://the-x.cn/zh-cn/base64

53ad9c50-5663-11ed-a3b6-dac502259ad0.png

53c1db5c-5663-11ed-a3b6-dac502259ad0.png

在文件里输入cmd 输入命令 python(不知道python版本号,那么就直接输入python)

脚本→

53cc4a24-5663-11ed-a3b6-dac502259ad0.png

修改偏移量

123.py -k

c0778cb1c62f4e5bb246f8dfe5dec0117e4ae15959794

d88886a4a2c5cde9354 -d wechat.dat

53d90016-5663-11ed-a3b6-dac502259ad0.png

53e4fc04-5663-11ed-a3b6-dac502259ad0.png

53fc7b72-5663-11ed-a3b6-dac502259ad0.png

54041148-5663-11ed-a3b6-dac502259ad0.png

命令总结

比赛、实战中常用的命令总结方便大家学习使用

命令:volatility -f 文件路径 imageinfo 判断未知内存镜像系统版本信息

命令:pslist/pstree/psscan 显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出

命令:导出 volatility-f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

命令:svcscan 查看服务的数据

命令:hivelist:查看缓存在内存的注册表

命令:hashdump:获取内存中的系统密码

命令:getsids:查看SID

命令:iehistory 查看浏览器历史记录

命令:查看服务 svcscan

命令:查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等 userassist

命令:netscan 查看网络连接

命令:filescan 查看文件

命令:printkey 获取SAM表中的用户

命令:检索最后的登入用户

printkey-K "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogin"

命令:sockscan TrueCrypt摘要

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 软件
    +关注

    关注

    69

    文章

    4929

    浏览量

    87414
  • 线程
    +关注

    关注

    0

    文章

    504

    浏览量

    19676

原文标题:内存取证|Volatility大杀器

文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    视觉传感 | 这些常见的Q&A!今天统一回答!

    明治的视觉传感功能丰富,集相机、光源、镜头为一体,搭载先进的算法,可被握在手心的小巧尺寸,是狭小空间的视觉检测神器。备利用传感与光学元件获取被测物的图像,通过设备内置的深度学习算法实现有无检测
    的头像 发表于 11-05 08:03 299次阅读
    视觉传感<b class='flag-5'>器</b> |  这些常见的Q&amp;amp;A!今天统一回答!

    一文掌握UV LED在空净消领域的主要应用

    近年来,随着科技的日新月异,LED领域也发展迅速。作为一种新型LED,UV LED凭借其众多优秀特性而备受瞩目。本文将介绍UV LED的主要性能、背后原理以及在空净消相关领域的应用。   一、走进
    发表于 10-23 14:02 1009次阅读
    一文掌握UV LED在空净消<b class='flag-5'>杀</b>领域的主要应用

    杰和科技AI PC N601“”疯啦

    自2022年11月30日OpenAI宣布推出ChatGPT以来,围绕AI的产品、应用如雨后春笋般出现;2023年12月15日,英特尔发布了首款支持端侧部署AI模型的消费级处理——Core
    的头像 发表于 09-27 10:00 214次阅读
    杰和科技AI PC N601“<b class='flag-5'>杀</b>”疯啦

    垂直启航·未来e行!2024深圳eVTOL展将于9月23-25日在深圳召开

    2024深圳eVTOL展将通过“两天论坛+三天展览”的形式展开,专注未来城市空中交通新形态、民用有人驾驶、无人驾驶航空、城市低空物流,并讨论eVTOL的整机研发、设计、制造、飞控、适航取证、eVTOL动力、航电、材料等多层次威廉希尔官方网站 内容。
    的头像 发表于 08-23 15:43 319次阅读

    MF2200北亚手机取证产品#手机取证

    手机
    Frombyte
    发布于 :2024年08月14日 15:00:32

    MF2200北亚手机取证设备#手机取证

    行业资讯
    Frombyte
    发布于 :2024年08月06日 14:56:31

    MF2200北亚手机取证系统#手机取证

    行业芯事行业资讯
    Frombyte
    发布于 :2024年07月30日 13:58:38

    MF2200北亚手机取证产品

    行业资讯
    Frombyte
    发布于 :2024年07月25日 17:45:09

    北亚FB-C7500数据库取证分析系统#数据库取证

    数据库
    Frombyte
    发布于 :2024年07月08日 14:26:31

    北亚FB-C6700监控视频分析恢复系统#视频监控取证

    视频监控
    Frombyte
    发布于 :2024年06月26日 09:14:15

    北亚FCDA电子取证能力训练系统#手机取证

    行业芯事行业资讯
    Frombyte
    发布于 :2024年06月21日 11:10:22

    arduino ide开发esp32 CAM模组HTTPS无法正确读取证书怎么解决?

    我使用arduino ide开发esp23-CAM,其CPU为esp32-s2,利用http协议将图片传给百度智能云,但我发现不能实现网页证书的鉴定,即使我已经下载了证书并嵌入代码,而且还不能跳过,因为跳过的配置需要在esp-idf,我认为这种设计极为不便,希望有威廉希尔官方网站 支持?以下是部分代码 const char* root_ca ="-----BEGIN CERTIFICATE-----n""MIIJ6DCCCNCgAwIBAgIMVeasrtH4pDD5qTjFMA0GCSqGSIb3DQEBCwUAMFAxCzAJn""BgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMSYwJAYDVQQDEx1Hn""bG9iYWxTaWduIFJTQSBPViBTU0wgQ0EgMjAxODAeFw0yMzA3MDYwMTUxMDZaFw0yn""NDA4MDYwMTUxMDVaMIGAMQswCQYDVQQGEwJDTjEQMA4GA1UECBMHYmVpamluZzEQn""MA4GA1UEBxMHYmVpamluZzE5MDcGA1UEChMwQmVpamluZyBCYWlkdSBOZXRjb20gn""U2NpZW5jZSBUZWNobm9sb2d5IENvLiwgTHRkMRIwEAYDVQQDEwliYWlkdS5jb20wn""ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC7BLuEdlgHtFqIVOBqVrzln""1I0+Hrko4NcBjzgrQbJZffCsJ7QmJBQ4/kzqO0lR9+lbQPc/psjaDwJuJYtHkbgun""ngAhGR0YAPzeBP0meTld8pC8gJ2ofLKRiYnYQC/l0qfzXm1IK8UfCrHgjox2/7zRn""ZwrSSdYJ7iYDAvPMzeqK1TGoLY8D/V785DrGiWeZTM6YbfqEDQ5Ti+ZjUsWbSqmrn""oyI1mQ3uGf+bLfWkd/LsEID0q4K50X42Hw6fmxmg9cNX3Yi7zuGQnD9Lut06qUGzn""3YZNwsK36P83E8AEiUNEOBHmo5b3CSIhLyxODn7l2Fy7AERbr97ks7DwPLY4RUldn""AgMBAAGjggaPMIIGizAOBgNVHQ8BAf8EBAMCBaAwgY4GCCsGAQUFBwEBBIGBMH8wn""RAYIKwYBBQUHMAKGOGh0dHA6Ly9zZWN1cmUuZ2xvYmFsc2lnbi5jb20vY2FjZXJ0n""L2dzcnNhb3Zzc2xjYTIwMTguY3J0MDcGCCsGAQUFBzABhitodHRwOi8vb2NzcC5nn""bG9iYWxzaWduLmNvbS9nc3JzYW92c3NsY2EyMDE4MFYGA1UdIARPME0wQQYJKwYBn""BAGgMgEUMDQwMgYIKwYBBQUHAgEWJmh0dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tn""L3JlcG9zaXRvcnkvMAgGBmeBDAECAjAJBgNVHRMEAjAAMD8GA1UdHwQ4MDYwNKAyn""oDCGLmh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5jb20vZ3Nyc2FvdnNzbGNhMjAxOC5jn""cmwwggNhBgNVHREEggNYMIIDVIIJYmFpZHUuY29tggxiYWlmdWJhby5jb22CDHd3n""dy5iYWlkdS5jboIQd3d3LmJhaWR1LmNvbS5jboIPbWN0LnkubnVvbWkuY29tggthn""cG9sbG8uYXV0b4IGZHd6LmNuggsqLmJhaWR1LmNvbYIOKi5iYWlmdWJhby5jb22Cn""ESouYmFpZHVzdGF0aWMuY29tgg4qLmJkc3RhdGljLmNvbYILKi5iZGltZy5jb22Cn""DCouaGFvMTIzLmNvbYILKi5udW9taS5jb22CDSouY2h1YW5rZS5jb22CDSoudHJ1n""c3Rnby5jb22CDyouYmNlLmJhaWR1LmNvbYIQKi5leXVuLmJhaWR1LmNvbYIPKi5tn""YXAuYmFpZHUuY29tgg8qLm1iZC5iYWlkdS5jb22CESouZmFueWkuYmFpZHUuY29tn""gg4qLmJhaWR1YmNlLmNvbYIMKi5taXBjZG4uY29tghAqLm5ld3MuYmFpZHUuY29tn""gg4qLmJhaWR1cGNzLmNvbYIMKi5haXBhZ2UuY29tggsqLmFpcGFnZS5jboINKi5in""Y2Vob3N0LmNvbYIQKi5zYWZlLmJhaWR1LmNvbYIOKi5pbS5iYWlkdS5jb22CEioun""YmFpZHVjb250ZW50LmNvbYILKi5kbG5lbC5jb22CCyouZGxuZWwub3JnghIqLmR1n""ZXJvcy5iYWlkdS5jb22CDiouc3UuYmFpZHUuY29tgggqLjkxLmNvbYISKi5oYW8xn""MjMuYmFpZHUuY29tgg0qLmFwb2xsby5hdXRvghIqLnh1ZXNodUJhaWR1LmNvbYISn""YmouYmFpZHViY2UuY29tghEqLmd6LmJhaWR1YmNlLmNvbYIOKi5zbWFydGFwcHMun""Y26CDSouYmR0anJjdi5jb22CDCouaGFvMjIyLmNvbYIMKi5oYW9rYW4uY29tgg8qn""LnBhZS5iYWlkdS5jb22CESoudmQuYmRzdGF0aWMuY29tghEqLmNsb3VkLmJhaWR1n""LmNvbYISY2xpY2suaG0uYmFpZHUuY29tghBsb2cuaG0uYmFpZHUuY29tghBjn""bS5wb3MuYmFpZHUuY29tghB3bi5wb3MuYmFpZHUuY29tghR1cGRhdGUucGFuLmJhn""aWR1LmNvbTAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwHwYDVR0jBBgwn""FoAU+O9/8s14Z6jeb48kjYjxhwMCs+swHQYDVR0OBBYEFO1zq/kgvnoZn1kfsp/yn""Py8/kYQSMIIBfgYKKwYBBAHWeQIEAgSCAW4EggFqAWgAdgBIsONr2qZHNA/lagL6n""nTDrHFIBy1bdLIHZu7+rOdiEcwAAAYko5XABAAAEAwBHMEUCIQDtGvRfSswr/1ffn""5bjL+SRct34Ue6PaRsDYvGhpiYejgwIgX/aCg9Og5EZbVLo+ZsrU9s3IJusYzZYjn""ASJszEzwZ1oAdwDuzdBk1dsazsVct520zROiModGfLzs3sNRSFlGcR+1mwAAAYkon""5XAdAAAEAwBIMEYCIQC9HcMYKn54HivSbhH0wuWtwTaHYtuIvJD8IhPF+zJ9/gIhn""AICMnoiGocc6FGIMIYmMd7p7JJSXMZCpFXSibCwzg1ItAHUA2ra/az+1tiKfm8K7n""XGvocJFxbLtRhIU0vaQ9MEjX+6sAAAGJKOVtVwAABAMARjBEAiBUbWpp6uCjWPkXn""1a3kdzajezONw5Uwdn7l+xypjE6bdwIgG2GK8pH+5UqZTTKxNyqCRoiJDX7rAXzxn""O22aIRkkBcAwDQYJKoZIhvcNAQELBQADggEBABlaZ1BDsax6k6hoGHKLQH6mdd6sn""IfzJQRYgS/OMC7lHRa74XXn2QzUmAZjwuYY+KQHx37Byta540t9htnhnisl3mt7gn""5EEvnB7lO3yXP0IvreNJf50rAoiQaSUDARS5tcsPWT0tlz0C1VGQaQyBECLaxlHvn""SAzST95h8mqHFaVtcY43AqKFDx4ZdaOALmoaogKML+y9PYEDP4rAoOa0DghXywAcn""ircbjzhxmo3AcQw/vNS+Vp33GMGqvuTfGobiYm8jhjBUeC1HH7StBSlzJJgUoBnAn""Av2QkE5iXOhNMYnD6Iuec1k7mJHKR6UFW8Uej4U5Ds61JgqATp8IShFJE2M=n""-----END CERTIFICATE-----n";esp_err_t _http_event_handler(esp_http_client_event_t* evt) { if (evt-&gt;event_id == HTTP_EVENT_ON_DATA) {httpResponseString.concat((char*)evt-&gt;data); } return ESP_OK;}String recognizeImage(String image) { httpResponseString = ""; esp_http_client_handle_t http_client; esp_http_client_config_t config_client = { 0 };config_client.url = post_url; config_client.event_handler = _http_event_handler; config_client.auth_type = HTTP_AUTH_TYPE_NONE; config_client.cert_pem =root_ca; config_client.client_cert_len= strlen(root_ca)+1; config_client.skip_cert_common_name_check = true; config_client.buffer_size_tx =313000; config_client.transport_type = HTTP_TRANSPORT_OVER_TCP; config_client.method = HTTP_METHOD_POST;
    发表于 06-06 07:39

    中国飞行汽车疯了,欧洲威廉希尔官方网站 都卖给中国

    行业芯事行业资讯
    电子发烧友网官方
    发布于 :2024年04月08日 13:53:14

    利用ProfiShark 构建便携式网络取证工具包

    网络安全领域日益重视便携式取证工具的灵活应用。本文介绍了如何构建一个以ProfiShark1G为核心的便携式网络取证工具包,以提高网络取证的效率和实效性
    的头像 发表于 01-13 08:04 1588次阅读
    利用ProfiShark 构建便携式网络<b class='flag-5'>取证</b>工具包

    【虹科分享】利用ProfiShark 构建便携式网络取证工具包

    本文详细讨论了构建便携式网络取证工具包的必要性,并重点介绍了ProfiShark 1G — 一种高效、口袋大小的网络TAP设备。ProfiShark 1G以其出色的数据捕获能力、便携性和易用性,使其
    的头像 发表于 12-29 17:06 374次阅读