- 1【STM32】STM32F103ZET6 创建工程模版详解(固件库)_stm32f103zet6的固件库
- 2计算机win10无法正常登录系统,win10系统无法使用微软账户登录系统的解决方法...
- 3myBatis-plus/myBatis 流式查询,解决大数据量查询慢而且内存溢出的异常_mybatis序列化反序列化慢
- 4在Docker中安装OnlyOffice过程记录_docker onlyoffice
- 5【uni-app】uniapp中微信小程序APP使用mqtt(vue同理)_uni-app mqtt
- 6CrossOver24免费升级以及CrossOver24下载,安装和激活(附激活码)_cross over24密码
- 7操作系统安全的基石:Linux安全审计与日志详解
- 8idapython
- 9旅游大数据分析预测系统+可视化 +贝叶斯预测模型 大数据毕业设计(附源码)✅
- 10mysql cursor使用_declare teach_cursor cuosor for select teacherno,
内存取证 | Volatility使用手册_connscan connections
赞
踩
volatility常用命令
查看volatility已安装的profile和插件
volatility --info
当我们拿到一个内存文件镜像的时候,一般来说我们应该先用 imageinfo,查看镜像的信息
imageinfo 查看系统摘要信息
-f 指定一个镜像文件
volatility -f imageinfo
hashdump 查看用户名和密码
volatility -f --profile= hashdump
需要提前指定系统,就是从 Suggested Profile(s)中得到的几个系统版本中选取一个,有的选了没用,就换下一个,例如
然后我们换一个,就可以看到经过hash的密码,这里用的是windows的一种hash算法,并不是md5,随后破解就可以了
pslist 直接列出运行的进程
volatility -f --profile= pslist
psxview 查看隐藏进程
volatility -f --profile= psxview
netscan 查看网络连接状态
volatility -f --profile= netscan
有的时候netscan用了没反应,但是能用connscan
connscan查看网络连接状态
volatility -f --profile= connscan
connections 检索已建立的网络连接状态
volatility -f --profile= connections
hivelist 列出注册表信息
volatility -f --profile= hivelist
cmdline/cmdscan 提取内存中保留的cmd命令使用情况
volatility -f --profile= cmdline
filescan 扫描内存中的文件
volatility -f --profile= filescan
但是这样扫描得到的东西太多太杂乱,我们可以使用 grep 来筛选:
例如我们要找jpg图片,就在最后加一个 | grep “JPG”volatility -f --profile= filescan | grep "JPG"
dumpfiles 将内存文件提取出来
dumpfiles:
-Q 指定文件的16进制地址
-D 要存储的位置
./就是存储到当前目录下
volatility -f --profile= dumpfile -Q -D ./volatility -f win2008.vmem --profile=Win2003SP1x86 dumpfiles -Q 0x0000000004643848 -D ./
然后我们点开图片,发现确实是我们刚才画的图片
screenshot —dump-dir=./
查看桌面截图并存储到当前目录下volatility -f win2008.vmem --profile=Win2003SP1x86 screenshot --dump-dir=./
printkey -K "ControlSet001\Control\ComputerName\ComputerName" 查看当前主机名
原理是从注册表的system往下找,找到主机名volatility -f win2008.vmem --profile=Win2003SP1x86 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
printkey -K "SAM\Domains\Account\Ueers\Names" 查看系统用户名
volatility -f win2008.vmem —profile=Win2003SP1x86 printkey -K "SAM\Domains\Account\Ueers\Names"
printkey -K 指定的是注册表的路径,查看主机名那个是从:HKEY_LOCAL_MACHINE\SYSTEM\下开始的,而用户名又是从HKEY_LOCAL_MACHINE\SAM\下开始的这个地方
memdump -p -D ./ 将进程程序提取出来
volatility -f win2008.vmem --profile=Win2003SP1x86 memdump -p 1152 -D ./
consoles 抓取控制台下执行的命令以及回显数据
mftparser 抓取删除的文件
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
免费领取安全学习资料包!
渗透工具
技术文档、书籍
面试题
帮助你在面试中脱颖而出
视频
基础到进阶
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
应急响应笔记
学习路线
