前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >内存取证(volatility)

内存取证(volatility)

作者头像
鸿鹄实验室
发布2021-04-15 11:13:14
3.7K0
发布2021-04-15 11:13:14
举报
文章被收录于专栏:鸿鹄实验室鸿鹄实验室

首先第一步,取证大师打开,工具集,内存镜像解析工具,打开镜像

Cmd打开volatility

1、查看内存镜像的基本信息

代码语言:javascript
复制
volatility.exe -f victor_PC_memdump.dmp imageinf

2、查看进程

PID是进程号

PPID是父进程号

代码语言:javascript
复制
volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 pslist

System的运行时间就是开机时间,这里还可能会问进程数量,粘贴复制进去notpead++看行数

3、查看隐藏进程

代码语言:javascript
复制
volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 psxview

4、导出对应进程号为2364的相关进程

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 memdump -p 2364 -D C:\Users\18267\Desktop

导出对应进程号为2364的相关exe程序

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 procdump -p 2364 -D C:\Users\18267\Desktop

5、查看该exe文件运行时调用的所有dll库

代码语言:javascript
复制
volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 dlllist -p 2364

6、查看网络连接状态,可以查看ip等

代码语言:javascript
复制
volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 netscan

7、导出用户的hash

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 hashdump

爆破得到密码

8、列出注册表

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 hivelist

9、查看cmd记录

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 cmdscan
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 cmdline

10、在注册表中查看主机名:

-o system的虚拟地址 printkey -K“ControlSet001\Control\ComputerName\ComputerName”

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

注意:一定要注意\,不能写成/

11、查看版本信息

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000a55010 printkey -K "( Wow6432Node)\Microsoft\Windows NT\CurrentVersion"

12、导出注册表文件

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 dumpregistry --dump-dir=C:\Users\18267\Desktop\2

13、-Q之后的地址是文件偏移量

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 dumpfiles -Q 0x000000007ebe4ad0 --dump-dir=C:\Users\18267\Desktop\2

14、查看用户的SID

导出注册表文件

两种方法:

1.查看SAM

2.查看SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

15、查看服务开启与否

使用内存镜像解析工具

16、查看ie浏览器记录

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 iehistory

17、notepad:查看记事本当前显示的文本(This command does not support the profile Win7SP1x64)

好了,用不了

18、打印桌面窗口的详细信息

代码语言:javascript
复制
volatility.exe -f .\victor_PC_memdump.dmp --profile=Win7SP1x64 windows

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-11-11,如有侵权请联系 cloudcommunity@tencent.com 删除
命令行工具

本文分享自 鸿鹄实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

命令行工具
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
相关产品与服务
命令行工具
腾讯云命令行工具 TCCLI 是管理腾讯云资源的统一工具。使用腾讯云命令行工具,您可以快速调用腾讯云 API 来管理您的腾讯云资源。此外,您还可以基于腾讯云的命令行工具来做自动化和脚本处理,以更多样的方式进行组合和重用。
产品介绍产品文档
精选特惠 用云无忧
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论