volatility 內存取證的簡單用法
可以使用kali,windows管理員權限運行.exe程序
一、常用命令格式
命令格式:volatility -f 文件名 --profile=dump的系統版本 命令
volatility -f win7.raw imageinfo ##檢測目標系統信息
volatility -f win7.raw --profile=Win7SPIx64 pslist ##查看運行的進程信息
volatility -f /root/桌面/mem.dump imageinfo ##獲取dump的版本
volatility -f WIN2012R2x64.raw --profile=Win8SP0x64 filescan ##掃描內存中的文件
volatility -f WIN2012R2x64.raw --profile=Win8SP0x64 hivelist ##列舉緩存在內存中的注冊表
volatility -f WIN2012R2x64.raw --profile=Win8SP0x64 printkey -K "SAM\Domains\Account\Users\Names" ##查看系統用戶名
volatility -f win7.raw --profile=Win7SPIx64 filescan |grep txt ##查看文件列表
volatility -f win7.raw --profile=Win7SPIx64 dumpfile -Q 0x000007 -D dir ##下載感興趣的文件,#dir你保存的路徑
volatility -f win7.raw --profile=Win7SPIx64 hashdump ##提取系統的賬號密碼
volatility -f win7.raw --profile=Win7SPIx64 netscan |grep ESTABLISHED ##查看網絡通信連接
volatility -f win7.raw --profile=Win7SPIx64 cmdscan ##查看cmd歷史記錄
volatility -f win7.raw --profile=Win7SPIx64 memdump -p 352 -D dir ##導出nc進程傳輸的文件,352為nc的進程號 dir 為保存的路徑
foremost 352.dmp ##分割dmp文件
volatility -f easy_dump.img --profile=Win7SP1x64 filescan | grep -E 'jpg|png|jpeg|bmp|gif' ##查找鏡像中的文件
volatility -f mem.vmem --profile=WinXPSP2x86 userassist ##查看userassist鍵值包含系統或桌面執行文件的信息,如名稱、路徑、執行次數、最后一次執行時間等
二、部分問題解題思路:
(一)、瀏覽器cookie信息中找flag
volatility -f Browser.raw imageinfo
volatility -f Browser.raw --profile=Win7SP1x64 pslist
volatility -f Browser.raw --profile=Win7SP1x64 pslist |find "chrome.exe" ##使用find查找所有谷歌瀏覽器進程
volatility.exe -f Browser.raw --profile=Win7SP1x64 memdump -p {對應的PID} -D ./ ##把每一個谷歌瀏覽器進程的數據保存為dmp格式的文件(這里的PID需要自己指定
使用010editer查找flag逐一篩選,在2608.dmp文件中找到flag
(二)、
volatility -f mem.vmem --profile=WinXPSP2x86 volshell 直接獲取volshell
volatility -f mem.vmem --profile=WinXPSP2x86 pslist 查看進程:
volatility -f mem.vmem --profile=WinXPSP2x86 printkey -K "SAM\Domains\Account\Users\Names" ##獲取SAM表中的用戶
volatility -f mem.vmem –profile=WinXPSP2x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" ##獲取最后登錄系統的賬戶
volatility -f mem.vmem --profile=WinXPSP2x86 userassist ##提取出內存中記錄的,當時正在運行的程序有哪些,運行過多少次,最后一次運行的時間等信息
root@kali:~/CTF# mkdir ctfmon
root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 memdump -p 1736 -D ctfmon/ 將內存中的某個進程數據以 dmp 的格式保存出來
volatility -f mem.vmem --profile=WinXPSP2x86 iehistory ##獲取 IE 瀏覽器的使用情況
volatility -f easy_dump.img --profile=Win7SP1x64 hashdump timeliner ##獲取內存中的系統密碼,獲取內存中的系統密碼,我們可以使用 hashdump 將它提取出來 。
volatility -f mem.vmem –profile=WinXPSP2x86 timeliner ##最大程度上將內存中的信息提取出來,那么你可以使用 timeliner 這個插件。它會從多個位置來收集系統的活動信息
(三)、
拿到題目附件,是一個數據報,很常規,估計就要從里面拿東西出來了。用wireshark打開來看看
導出直接保存下來。一看這些東西什么upload_file.php看名字就知道有鬼,還出奇的大(40MB),里面必然有東西。
打開來看一下(用記事本什么嗶哩吧啦的都可以)很明顯他把名字都告訴給你了,這個傳了一個data.zip的東西,然后看下面的東東 PK很明顯是zip文件頭,說明這個"php"里把zip文件也給囊括起來了。現在我們只要獲取這個zip包就好。
當然,我非常懶,所以在這又推薦神器foremost,一鍵分離不是夢。(其實還有個騷操作就是直接把給的那個數據報pcap文件給foremost掉,比自己導出對象搞得還清晰hhh)
得到一個zip之后打開看一眼,有一個data.vmem文件,這下事情就好辦了,讓我們到kali里面去解決這個data.vmem
首先我們要簡單來分析一下這個虛擬內存文件是在哪個平台下的,好讓我們進行下一步操作
volatility -f data.vmem imageinfo 可以看到是xp平台下的,好的我們又多了一個參數。接來下我們可以看看它運行過什么進程:
volatility -f data.vmem --profile=WinXPSP2x86 pslist (應該用psscan也可以)
讓我們來分析這個dmp文件,我們可以看看有什么有意思的關鍵字,用flag作為東西搜索一下輸入命令:strings 1476.dmp | grep -E ‘flag’
可以看到一堆很有趣的flag名字的文件,好像有flag.zip 還有flag.img 不過我猜測這玩意為了增加難度是不會那么容易直接給你搞到zip的。
讓我們接下來再看看從哪可以dump下來文件,
輸入命令:volatility -f data.vmem --profile=WinXPSP2x86 filescan|grep ‘flag’ 找到flag相關文件(一定要關鍵字,不然給你爆出來一堆文件)
我們把它dump下來。
輸入命令:volatility -f data.vmem --profile=WinXPSP2x86 dumpfiles -Q 0x0000000001155f90 -D ./
然后我們把文件后綴名改成img就可以進一步處理啦~
我們可以直接用binwalk神器解掉它,也可以用UltralISO打開hhh,反正里面有一個usbdata.zip。這個從UltralISO取的話會比較直觀。我記得用binwalk的時候出了點小意外,得自己去用010editor修復了一下zip文件才正常hhh
看上去就快搞定了)
現實給了你當頭一棒——這玩意要密碼才能解密。可是密碼在哪?所以我們又得回到data.vmem。看看命令行那邊有沒什么線索
輸入命令:volatility -f data.vmem --profile=WinXPSP2x86 cmdscan
好的我們可以看到還是很良心的 有個passwd:weak_auth_top100