首先第一步,取证大师打开,工具集,内存镜像解析工具,打开镜像
Cmd打开volatility
1、查看内存镜像的基本信息
volatility.exe -f victor_PC_memdump.dmp imageinf
2、查看进程
PID是进程号
PPID是父进程号
volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 pslist
System的运行时间就是开机时间,这里还可能会问进程数量,粘贴复制进去notpead++看行数
3、查看隐藏进程
volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 psxview
4、导出对应进程号为2364的相关进程
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 memdump -p 2364 -D C:\Users\18267\Desktop
导出对应进程号为2364的相关exe程序
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 procdump -p 2364 -D C:\Users\18267\Desktop
5、查看该exe文件运行时调用的所有dll库
volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 dlllist -p 2364
6、查看网络连接状态,可以查看ip等
volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 netscan
7、导出用户的hash
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 hashdump
爆破得到密码
8、列出注册表
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 hivelist
9、查看cmd记录
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 cmdscan
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 cmdline
10、在注册表中查看主机名:
-o system的虚拟地址 printkey -K“ControlSet001\Control\ComputerName\ComputerName”
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
注意:一定要注意\,不能写成/
11、查看版本信息
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000a55010 printkey -K "( Wow6432Node)\Microsoft\Windows NT\CurrentVersion"
12、导出注册表文件
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 dumpregistry --dump-dir=C:\Users\18267\Desktop\2
13、-Q之后的地址是文件偏移量
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 dumpfiles -Q 0x000000007ebe4ad0 --dump-dir=C:\Users\18267\Desktop\2
14、查看用户的SID
导出注册表文件
两种方法:
1.查看SAM
2.查看SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
15、查看服务开启与否
使用内存镜像解析工具
16、查看ie浏览器记录
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 iehistory
17、notepad:查看记事本当前显示的文本(This command does not support the profile Win7SP1x64)
好了,用不了
18、打印桌面窗口的详细信息
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 windows