内存取证工具

volaility

基本信息（时间、操作系统信息等）

获取内存镜像基本信息 .\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem"  imageinfo

用户信息

查看内存镜像中的用户信息 .\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64  printkey -K “SAM\Domains\Account\Users\Names”

获取最后登录系统的用户信息.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 printkey -K “SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”

用户密码

查看用户密码 .\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 hashdump

查看用户密码（强密码）.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 lsadump

还有mimikiza插件（在lsadump和hashdump失效的情况下可以使用）

进程

.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 pslist

.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 psscan

.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 pstree

网络

.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 netscan

文件

.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 filescan

注册表

将注册表的信息导入临时目录下.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 dumpregistry --dump-dir=D:\临时\

之后可以使用wrr等注册表查看工具进行查看

.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 hivelist

浏览器历史记录

.\volatility_2.6_win64_standalone.exe -f  "G:\内存专项13\OtterCTF.vmem" --profile=Win7SP1x64 iehistory

Axiom（国外算得上比较强大的取证综合工具）

使用axiom分析计算机内存镜像

美亚内存取证小工具

火眼内存取证