跳转至

内存取证

内存取证

volatility

在kali下直接使用就好

确定profile的值:volatility -f filename imageinfo

1573865786563-2db53f91-ce0d-4943-b95f-83c4c3fea616.png

会出现多个结果,一般情况下取第一个结果

列举进程:volatility -f xp.raw --profile=WinXPSP2x86 pslist

1573865966529-5f8588ab-f2b4-49ab-b5f3-b51c31958b6f.png

查看缓存在内存中的注册表:volatility -f xp.raw --profile=WinXPSP2x86 hivelist

1573866565329-27c5cde5-0792-4def-aeed-32075fd694ed.png

获取 SAM 表中的用户:

volatility -f xp.raw --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names"

1573866528790-901a4e08-97ef-4e72-a2e2-2d3468d8ff76.png

把内存中某个进程的数据以 dmp 的形式保存出来:

volatility -f xp.raw --profile=WinXPSP2x86 memdump -p [PID] -D [dump 出的文件保存的目录]

1573867574489-91f7556f-2529-4ac3-8266-6d117bd7c574.png

把内存中保留的 cmd 的命令打印出来:

volatility -f xp.raw --profile=WinXPSP2x86 cmdscan

1573867830202-786c8f68-17f1-4fe7-9b4f-11ef0f7d6a50.png

查看内存中的系统密码:

volatility -f xp.raw --profile=WinXPSP2x86 hashdump -y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)

首先要获取注册表 system 的 virtual 地址和 SAM 的 virtual 地址,使用 hivelist 查看

1573868295441-b94af119-234b-4c85-83d7-22d4b872bb43.png

再使用:volatility -f xp.raw --profile=WinXPSP2x86 hashdump -y 0xe1035b60 -s 0xe13fbb60

1573868467734-f4690976-1a3f-4fe7-9892-d56e23a97527.png

原文: https://www.yuque.com/hxfqg9/misc/seedcu