内存取证之Volatility从0到1编程设计
下载安装
官网下载即可:
https://www.volatilityfoundation.org/releases 网址
windows环境下下载软件包
直接输入cmd打开使用(简单方便)
真题操练
只需将镜像拖入
判断未知内存镜像系统版本信息
volatility -f 文件路径 imageinfo
kali下解析
命令:pslist/pstree/psscan :非常有用的插件,列出转储时运行的进程的详细信息;显示过程id,该父进程id(ppid),线程的数目,把手的数目,日期时间时,过程开始和退出
pslist无法显示隐藏/终止进程
导出
volatility -f mem.vmem --profile=winxp sp2 x86 pslist >pslist.txt
任何数据都可以导出,然后进行使用
比如:导出“查看服务(svcscan)”的数据
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 svcscan >svcscan.txt
kali下
命令:hivelist:查看缓存在内存的注册表
命令:hashdump:获取内存中的系统密码
volatility -f bb.raw --profile=win7sp1x86_23418 hashdump
命令:getsids:查看sid
volatility -f bb.raw --profile=win7sp1x86_23418 getsids
计算机名称
导出注册表
发现system是注册表信息,用wrr打开
注册表内usb
借鉴//www.doc88.com/p-9107655008710.html?r=1
打印机在注册表中的位置
hkey_local_machinesoftwaremicrosoftprintcomponents 默认浏览器 注册表
命令:查看浏览器历史记录
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418
kali下
命令:查看服务 svcscan
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 svcscan
建议导出查看,数据量大
命令:查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等 userassist
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 userassist
命令:查看网络连接 volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 netscan
命令:查看文件 volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 filescan
建议导出查看,数据量大
命令:获取sam表中的用户
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 printkey
侵权战再度升级:三星指控iPhone 5手机侵权
消除焊接残余应力,提高焊接件质量
联咏科技获得CEVA-XM4图像和视觉DSP授权许可 用于嵌入式视觉智能
关于Mercedes-Benz1.8L涡轮增压汽油机性能分析
如何在下一代智能手机的设计中节约空间?本文提供一个思路
内存取证之Volatility从0到1编程设计
ADC 失调和 ADC 增益误差规格
升温-保温-回流过程和RTS温度曲线讲解
小米10系列配置曝光搭载骁龙865平台屏幕刷新率达到了90Hz
虹膜识别:创新赋能,刷眼未来
山东电信联合华为开通了省内首个SA 5G实验网
为什么开发DApp需要用到区块链技术
如今PCB陶瓷基板究竟有什么优势特性
3D打印将会使未来精密零部件的制造工艺得到进一步优化
国内研制出连续单管半导体激光器耦合模块
串行总线的优缺点优点
ADS8588S是具有8通道16位精度同步采样的SAR ADC
针对西门子系列的产品PLC和触摸屏的案例
通过利用FPGA技术实现软件无线电硬件平台设计
移动应用中的第三方SDK隐私合规检测
官网下载即可:
https://www.volatilityfoundation.org/releases 网址
windows环境下下载软件包
直接输入cmd打开使用(简单方便)
真题操练
只需将镜像拖入
判断未知内存镜像系统版本信息
volatility -f 文件路径 imageinfo
kali下解析
命令:pslist/pstree/psscan :非常有用的插件,列出转储时运行的进程的详细信息;显示过程id,该父进程id(ppid),线程的数目,把手的数目,日期时间时,过程开始和退出
pslist无法显示隐藏/终止进程
导出
volatility -f mem.vmem --profile=winxp sp2 x86 pslist >pslist.txt
任何数据都可以导出,然后进行使用
比如:导出“查看服务(svcscan)”的数据
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 svcscan >svcscan.txt
kali下
命令:hivelist:查看缓存在内存的注册表
命令:hashdump:获取内存中的系统密码
volatility -f bb.raw --profile=win7sp1x86_23418 hashdump
命令:getsids:查看sid
volatility -f bb.raw --profile=win7sp1x86_23418 getsids
计算机名称
导出注册表
发现system是注册表信息,用wrr打开
注册表内usb
借鉴//www.doc88.com/p-9107655008710.html?r=1
打印机在注册表中的位置
hkey_local_machinesoftwaremicrosoftprintcomponents 默认浏览器 注册表
命令:查看浏览器历史记录
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418
kali下
命令:查看服务 svcscan
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 svcscan
建议导出查看,数据量大
命令:查看运行程序相关的记录,比如最后一次更新时间,运行过的次数等 userassist
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 userassist
命令:查看网络连接 volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 netscan
命令:查看文件 volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 filescan
建议导出查看,数据量大
命令:获取sam表中的用户
volatility -f d:电子取证备赛memdump.mem --profile=win7sp1x86_23418 printkey
侵权战再度升级:三星指控iPhone 5手机侵权
消除焊接残余应力,提高焊接件质量
联咏科技获得CEVA-XM4图像和视觉DSP授权许可 用于嵌入式视觉智能
关于Mercedes-Benz1.8L涡轮增压汽油机性能分析
如何在下一代智能手机的设计中节约空间?本文提供一个思路
内存取证之Volatility从0到1编程设计
ADC 失调和 ADC 增益误差规格
升温-保温-回流过程和RTS温度曲线讲解
小米10系列配置曝光搭载骁龙865平台屏幕刷新率达到了90Hz
虹膜识别:创新赋能,刷眼未来
山东电信联合华为开通了省内首个SA 5G实验网
为什么开发DApp需要用到区块链技术
如今PCB陶瓷基板究竟有什么优势特性
3D打印将会使未来精密零部件的制造工艺得到进一步优化
国内研制出连续单管半导体激光器耦合模块
串行总线的优缺点优点
ADS8588S是具有8通道16位精度同步采样的SAR ADC
针对西门子系列的产品PLC和触摸屏的案例
通过利用FPGA技术实现软件无线电硬件平台设计
移动应用中的第三方SDK隐私合规检测