内存取证
相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件
常用命令
在kali下用工具volatility,以湖湘杯的文件men.raw为例
-
查看系统信息
volatility -f mem.raw imageinfo
如下显示的系统都有可能,可以一个个的试试 -
查看运行程序列表
volatility -f mem.raw --profile=Win7SP1x64 pslist
-
查看文件
volatility -f mem.raw --profile=Win7SP1x64 filescan
一般文件会很多,不易查看,用grep命令过滤volatility -f mem.raw --profile=Win7SP1x64 filescan |grep txt
这里显示出了txt文件,下面将他们分离出来 -
提取文件
volatility -f mem.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000001e7c3420 -D aaa
-Q是偏移量,-D是存储的文件夹
-
查看cmd下执行的文件
volatility -f mem.raw --profile=Win7SP1x64 cmdscan
可以看到,flag已经被找到,不过出题人并没有将flag放在一个文件里,只是个文件 名,若是放在某个文件里,会加大我们的难度 -
分离出cmd下执行的某个文件
volatility -f mem.raw --profile=Win7SP1x64 memdump -p 2884 -D aaa
-p是进程号,flag的文件在进程号为2884,分离出的文件为流量包
好像用wireshark打不开,可以直接foremost一波,得到文件 -
提取账户密码
volatility -f mem.raw --profile=Win7SP0x64 hashpump -
查看网络连接
volatility -f mem.raw --profile=Win7SP1x64 netscan
查看已经建立的网络连接volatility -f mem.raw --profile=Win7SP1x64 netscan|grep ESTABLISHED