環境:kali
0x00 volatility官方文檔
https://github.com/volatilityfoundation/volatility
在分析之前,需要先判斷當前的鏡像信息,分析出是哪個操作系統
volatility imageinfo -f Advertising\ for\ Marriage.raw
知道鏡像后,就可以在 –profile 中帶上對應的操作系統(我不加也行emmm,嚴謹點就加吧)
0x01 列出進程列表
volatility pslist -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86
提取cmd命令歷史記錄
volatility -f Advertising\ for\ Marriage.raw cmdscan --profile=WinXPSP2x86
根據你的經驗(可根據每個進程的開始結束時間),發現比較可疑的進程有
DumpIt.exe 180(好吧這是正在進行內存取證)
mspaint.exe 332(畫圖,應該蠻重要的)
spoolsv.exe 1472(打印機和服務)題目背景是結婚廣告(所以打印跟畫圖應該有用,沒看到ps進程)
notepad.exe 1056(notepad,everyone know)
查看當前展示的 notepad 文本
volatility notepad -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86
根據進程的 pid dump出指定進程到指定的文件夾--dump_dir=XX/(或者-D )
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 memdump -p 332 -D XX/
-p 進程號 -D 當前輸出路徑(導出為332.dmp)
dump出來的進程文件,可以使用 foremost 來分離里面的文件,用 binwak -e 不推薦
查找關鍵字flag
strings -e l 2040.dmp | grep flag
把結果存放在1.txt上
strings -e l 2040.dmp | grep flag > 1.txt
強薦安裝gimp
將2040.dmp copy一份重命名為2040.data,使用Gimp打開,打開方式選擇"原始圖像數據"
瘋狂調分辨率
sudo apt-get install gimp gimp-plugin-registry gimp-data-extras
volatility screenshot -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 --dump-dir=out
對當前的窗口界面,生成屏幕截圖(上)
掃描所有的文件列表
volatility filescan -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86
掃描所有的圖片
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "jpg\|jpeg\|png\|tif\|gif\|bmp"
掃描所有的文檔
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "doc\|docx\|rtf"
掃描桌面路徑(根據實際情況選擇中英)
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "Desktop" volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan | grep "桌面"
根據顯示dump出文件
volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 dumpfiles -D XX/ -Q 0x0000000002310ef8
我太菜了QAQ
繼續學習!!!
查看當前操作系統中的 password hash,例如 Windows 的 SAM 文件內容
volatility hashdump -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86掃描 Windows 的服務列表
volatility svcscan -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 查看網絡連接
volatility connscan -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86
查看命令行輸入
volatility -f Advertising\ for\ Marriage.raw cmdline --profile=WinXPSP2x86掃描建立的連接和套接字(網絡連接),類似於netstat
netscan
好好看官方文檔!仔細看!!
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#dumpfiles
參考資料:
volatility memory forensics cheat sheet.pdf
應用程序進程 wordpad.exe寫字板 MineSweeper.exe掃雷 sshd.exe
https://www.freebuf.com/news/145262.html