環境:kalihtml
0x00 volatility官方文檔git
https://github.com/volatilityfoundation/volatilitygithub
在分析以前,須要先判斷當前的鏡像信息,分析出是哪一個操做系統網絡
volatility imageinfo -f Advertising\ for\ Marriage.raw
知道鏡像後,就能夠在 –profile 中帶上對應的操做系統(我不加也行emmm,嚴謹點就加吧)ssh
0x01 列出進程列表學習
volatility pslist -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86
提取cmd命令歷史記錄spa
volatility -f Advertising\ for\ Marriage.raw cmdscan --profile=WinXPSP2x86
根據你的經驗(可根據每一個進程的開始結束時間),發現比較可疑的進程有操作系統
DumpIt.exe 180(好吧這是正在進行內存取證)命令行
mspaint.exe 332(畫圖,應該蠻重要的)code
spoolsv.exe 1472(打印機和服務)題目背景是結婚廣告(因此打印跟畫圖應該有用,沒看到ps進程)
notepad.exe 1056(notepad,everyone know)
查看當前展現的 notepad 文本
volatility notepad -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86
根據進程的 pid dump出指定進程到指定的文件夾--dump_dir=XX/(或者-D )
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 memdump -p 332 -D XX/
-p 進程號 -D 當前輸出路徑(導出爲332.dmp)
dump出來的進程文件,能夠使用 foremost 來分離裏面的文件,用 binwak -e 不推薦
查找關鍵字flag
strings -e l 2040.dmp | grep flag
把結果存放在1.txt上
strings -e l 2040.dmp | grep flag > 1.txt
強薦安裝gimp
將2040.dmp copy一份重命名爲2040.data,使用Gimp打開,打開方式選擇"原始圖像數據"
瘋狂調分辨率
sudo apt-get install gimp gimp-plugin-registry gimp-data-extras
volatility screenshot -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 --dump-dir=out
對當前的窗口界面,生成屏幕截圖(上)
掃描全部的文件列表
volatility filescan -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86
掃描全部的圖片
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "jpg\|jpeg\|png\|tif\|gif\|bmp"
掃描全部的文檔
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "doc\|docx\|rtf"
掃描桌面路徑(根據實際狀況選擇中英)
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "Desktop" volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "桌面"
根據顯示dump出文件
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 dumpfiles -D XX/ -Q 0x0000000002310ef8
我太菜了QAQ
繼續學習!!!
查看當前操做系統中的 password hash,例如 Windows 的 SAM 文件內容
Advertising\ for\ Marriage.raw volatility hashdump -f--profile=WinXPSP2x86
掃描 Windows 的服務列表
Advertising\ for\ Marriage.raw volatility svcscan -f--profile=WinXPSP2x86
查看網絡鏈接
Advertising\ for\ Marriage.raw volatility connscan -f--profile=WinXPSP2x86
查看命令行輸入
volatility -f Advertising\ for\ Marriage.raw cmdline --profile=WinXPSP2x86
掃描創建的鏈接和套接字(網絡鏈接),相似於netstat
netscan
好好看官方文檔!仔細看!!
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#dumpfiles
參考資料:
volatility memory forensics cheat sheet.pdf
應用程序進程 wordpad.exe寫字板 MineSweeper.exe掃雷 sshd.exe
https://www.freebuf.com/news/145262.html