首页 > 其他分享 >Volatility2.6的使用

Volatility2.6的使用

时间:2024-07-01 23:42:23浏览次数:14  
标签:Volatility2.6 profile Win7SP1x64 -- vmem 使用 python2 volatility

Volatility2.6的使用

-h:查看帮助

-f:指定镜像

imageinfo:获取当前内存镜像基本信息

–profile:指定镜像对应系统

相关命令后接参数:

-p:指定PID

-Q:指定内存地址

-D/–dump-dir:指定导出目录

-o:指定注册表的virtual地址

volatility -f 镜像 参数 命令
示例:volatility -f XXX.raw --profile=Win7SP1x64 pslist

常用命令

imageinfo #查看镜像系统信息 使用对应版本的镜像,后面的参数使用–profile(两根横杠) --profile=Win7SP1x64

python2 volatility-master/vol.py -f 1.vmem imageinfo

pslist #看完镜像直接查看这个镜像上有那些进程正在运行 pslist应该比较好理解就是进程的列表的意思。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pslist

psxview #可查看一些隐藏进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 psxview

pstree #以树的形式来列出正在进行的进程,不会显示出隐藏或未链接的进程

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 pstree
显示进程权限
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 privs

cmdscan #查看镜像的历史命令,就是和linux中history差不多。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdscan

consoles #这个会比上面那个更好一些,能看到指令的输入和输出。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 consoles

cmdline #此指令将会列出所有命令行下运行的程序

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdline

cmdscan #提取内存中保留的 cmd 命令使用情况

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 cmdscsan

dlllist #显示每个进程的加载dll列表

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dlllist

netscan #获取到当时的网络连接情况

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 netscan
补充:
1、LISTENING状态
  服务启动后首先处于侦听(LISTENING)状态。

2、ESTABLISHED状态
  ESTABLISHED的意思是建立连接。表示两台机器正在通信。

svcscan #查看服务

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 svcscan

modules #查看内核驱动

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modules

modscan/driverscan #可查看一些隐藏的内核驱动

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 modscan/driverscan  #可查看一些隐藏的内核驱动

ShimCache #来识别应用程序兼容性问题。跟踪文件路径,大小,最后修改时间和最后“执行”时间.

privs #显示进程权限
envars #显示环境变量

filescan #查找文件,可搭配 grep | "xxx" / filescan | grep -E “png”

memdump -p [PID] -D 保存目录 #通过相应的进程能直接dump出相关的文件。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 memdump -p 2368 -D .

dumpfiles -Q [16进制位置] -D 保存目录 #通过16进制位置dump出相关的文件。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003b33fb70  -D . 

editbox #查看系统正在运行的编辑本
dumpregistry -D 保存目录 #导出系统的注册表

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 dumpregistry -D .

screenshot -D 保存目录 #查看并导出屏幕的截屏【需要安装PIL库】

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 screenshot -D .

clipboard #查看剪贴板数据,加一个-v可以导出相关的数据。
iehistory #查看浏览器的历史记录

printkey -K "SAM\Domains\Account\Users\Names" #查看用户名

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
查看计算机名
python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"  

printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" #打印出最后登录的用户
hashdump #获取各个账号的MD5加密密码

利用hashdump和mimikatz破解账户密码

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 hashdump

可以看到administrator和test的账户密码是空密码,admin的则是有数据的。

如果装了mimikatz插件的可以直接破解出明文的密码,这边不知道为啥没出来很奇怪。

python2 volatility-master/vol.py -f 1.vmem --profile=Win7SP1x64 mimikatz

hivelist #获取注册表单元配置列表

找出获取system 的 virtual 地址,SAM 的 virtual 地址,然后在使用hashdump -y SYSTEM_virtual -x SAM_virtual. (通过hivelist找出用户)

标签:Volatility2.6,profile,Win7SP1x64,--,vmem,使用,python2,volatility
From: https://www.cnblogs.com/lmylmy/p/18279047

相关文章

  • ts vue3 getCurrentInstance 使用,$refs 调用方式
    代码示例可以通过ref变量实现绑定$ref,或者getCurrentInstance来获取$refs/***$ref使用方式,变量名和组件的属性ref值一致*/consthChildRef=ref()console.log(hChildRef,"hChildRef")constinstance=getCurrentInstance()//constself=(instanceasComponen......
  • 3、爬虫-selenium-获取用户cookie的使用
    注意这里使用的是chrom浏览器、所以要下载对应版本的chromdriver.exe工具、且放在同一文件目录下或者在电脑中设置环境变量、或者放在pycharm安装目录下的 E:\installDir\python\Scripts 路径下即可chromedriver-120.exefromseleniumimportwebdriver#webdriver.Chrom......
  • 4、爬虫-数据获取之双R(CS/BS)与chrom检查工具使用-requests请求
    模拟客户端请求服务端:  ·模拟请求行和请求头、请求体 """模拟客户端请求获取静态数据和动态数据使用python自己去构造请求使用request""""""请求的构成:请求行、请求头、请求体"""###########################静态页面加载请求的##############################......
  • 10、爬虫-requests的使用-session()、防盗链
    #会话-cookie的使用requests.session()"""先登录网站、找到llogin相关的url得到cookie、拿到formatData中的信息带着cookie去请求url使用cookie去访问(session-会话)该网站其它内容的时候都会带着cookie"""importrequests#创建会话session=requests.session()#用户......
  • WPF资源的使用
    目录本地文件资源的使用图片使用设置图片属性:本地图片加载:直接加载url使用,使用网络图片跨程序集使用:常用方法音视频使用字体图标文件的使用字体图标文件的操作与合并资源字典的使用资源字典切换案例本地文件资源的使用图片使用图片有两种使用方式设置图片属性......
  • 深入理解C# log4Net日志框架:功能、使用方法与性能优势
    文章目录1、log4Net的主要特性2、log4Net框架详解配置日志级别3、log4Net的使用示例4、性能优化与对比5、总结与展望在软件开发过程中,日志记录是一个不可或缺的功能。它可以帮助开发者追踪错误、监控应用程序性能,以及进行调试。在C#生态系统中,log4Net是一个流行的......
  • 如何使用C++进行文件读写操作
    在C++中,我们可以使用标准库中的 <fstream>(文件流)来进行文件的读写操作。以下是一些基本的文件读写操作的示例。读取文件cpp复制代码#include<fstream>#include<iostream>#include<string>intmain(){std::ifstreamfile("example.txt");//打开文件以进行读取操......
  • 【Emacs Verilog mode保姆级的使用指南】
    ......
  • 13.计数器设计、标志脉冲信号的使用
    (1)设计定义:设计一个计数器模块,实现每0.5秒跳转一次的功能,可以用LED灯的翻转来体现,要求初始状态为LED熄灭。(2)visio视图:(3)Verilog代码:modulecounter(clk,reset_n,led_out);inputclk;inputreset_n;outputregled_out;//0.5s=500_000_000ns=......
  • 7.半加器拓展练习:使用与非门实现半加器
    使用always语句实现半加器:(1)报错:[HDL9-806]Syntaxerrornear"non-printablecharacterwiththehexvalue'0xef'". 原因:Verilog中带有中文字符(2)Verilog代码:moduleex_half_adder(A,B,Cout,Sum);inputA;inputB;outputregCout;......