环境:kali
##0x00 volatility官方文档
https://github.com/volatilityfoundation/volatility
在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统
知道镜像后,就可以在 –profile 中带上对应的操作系统(我不加也行emmm,严谨点就加吧)
##0x01 列出进程列表
提取cmd命令历史记录
根据你的经验(可根据每个进程的开始结束时间),发现比较可疑的进程有
DumpIt.exe 180(好吧这是正在进行内存取证)
mspaint.exe 332(画图,应该蛮重要的)
spoolsv.exe 1472(打印机和服务)题目背景是结婚广告(所以打印跟画图应该有用,没看到ps进程)
notepad.exe 1056(notepad,everyone know)
##0x02 查看当前展示的 notepad 文本
##0x03 根据进程的 pid dump出指定进程到指定的文件夹–dump_dir=XX/(或者-D )
2
-p 进程号 -D 当前输出路径(导出为332.dmp)dump出来的进程文件,可以使用 foremost 来分离里面的文件,用 binwak -e 不推荐
查找关键字flag
把结果存放在1.txt上
将2040.dmp copy一份重命名为2040.data,使用Gimp打开,打开方式选择”原始图像数据”
疯狂调分辨率
对当前的窗口界面,生成屏幕截图
扫描所有的文件列表
扫描所有的图片
2
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "桌面"根据显示dump出文件
我太菜了QAQ
继续学习!!!
查看当前操作系统中的 password hash,例如 Windows 的 SAM 文件内容
volatility hashdump -f Advertising\ for\ Marriage.raw –profile=WinXPSP2x86
扫描 Windows 的服务列表volatility svcscan -f Advertising\ for\ Marriage.raw –profile=WinXPSP2x86
查看网络连接volatility connscan -f Advertising\ for\ Marriage.raw –profile=WinXPSP2x86
查看命令行输入volatility -f Advertising\ for\ Marriage.raw cmdline –profile=WinXPSP2x86
扫描建立的连接和套接字(网络连接),类似于netstatnetscan
https://www.cnblogs.com/qq3285862072/p/11869403.html我的博客园地址
好好看官方文档!仔细看!!https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#dumpfiles
参考资料:
volatility memory forensics cheat sheet.pdf https://digital-forensics.sans.org/media/volatility-memory-forensics-cheat-sheet.pdf
应用程序进程 wordpad.exe写字板 MineSweeper.exe扫雷 sshd.exe
OtterCTF取证 https://cloud.tencent.com/developer/article/1378638
https://www.freebuf.com/news/145262.html
https://www.freebuf.com/column/152545.html
红队资料 https://www.lshack.cn/772/
Printer Exploitation Toolkit https://github.com/RUB-NDS/PRET
volatility内核对象内存池 https://www.freebuf.com/sectool/124800.html
HDCTF
