nen

首先学习基础用法

1.查看系统基本信息   imageinfo

vol.py -f 路径 imageinfo

 2.查看进程命令行   cmdline cmdline

vol.py -f 路径 --profile=系统版本 cmdline

vol.py -f 路径 --profile=版本 cmdscan

 3.查看进程信息  pslist

vol.py -f 路径 --profile=系统 pslist

通过树的方式返回      pstree

vol.py -f 路径 --profile=系统 pstree

4.DLL列表 动态链接库的列表

这里的命令都可以通过 -p 指定 pid   dlllist

vol.py -f 路径 --profile=系统 dlllist

 打印出动态链接库的具体信息   ldrmodules

vol.py -f 路径 --profile=系统 ldrmodules

 打印出更具体的内容和十六进制的值    malfind

vol.py -f 路径 --profile=系统 malfind

 5.查看用户密码信息 开机密码  hashdump

vol.py -f 路径 --profile=系统 hashdump

然后通过md5爆破即可

6.查看注册表信息   printkey

vol.py -f 路径 --profile=系统 printkey

 查看注册表的详细信息  hivedump

vol.py -f 路径 --profile=系统 hivelist

查看某个地址的注册表信息   hivedump

vol.py -f 路径 --profile=系统 hivedump -o 地址

 7.查看网络信息  netscan

vol.py -f 路径 --profile=系统 netscan

 8.查看服务的运行  svcscan

vol.py -f 路径 --profile=系统 svcscan

9.查看环境变量  envars

vol.py -f 路径 --profile=系统 envars

 10.进程缓存的文件  filescan

vol.py -f 路径 --profile=系统 filescan

11.pslist-----memdump   提取进程

首先通过pslist

然后提取

vol.py -f 路径 --profile=系统 memdump -p 指定的pid   -D 输出的目录

 

12.filescan-----dumpfiles  提取进程

首先通过

然后提取

vol.py -f 路径 --profile=系统 dumpfiles -Q 指定的偏移量  -D 输出的目录

题目

查看主机名

[OtterCTF 2018]General Info

Let's start easy - whats the PC's name and IP address?

ip地址可以通过 netscan取得

所以是 192.168.202.131

主要是主机名

我们无法直接获取

通过注册表 hivelist

 

我们的主机名在system

然后

我们通过 -o printkey 来看详细内容

 继续跟进

--profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001"

--profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control"

--profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName"

--profile=Win7SP1x64 -o 0xfffff8a000024010 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

 到此 主机名就出现了

查看剪切板

[OtterCTF 2018]Silly Rick

 题目告诉我们 他复制到在线密码管理的地方了

复制粘贴就需要用到剪切板

我们可以通过vol直接打印剪切板的内容

py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64  clipboard

 答案就出现了

查看恶意程序感染

py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64  pstree

只需要看树就行了

 能发现可疑 的瑞克和莫提

然后树下面存在 VMware-tray.exe 怀疑就是

去看看有没有执行命令

py -2 vol.py -f C:\Users\12455\Desktop\OtterCTF.vmem --profile=Win7SP1x64  cmdline -p  3820,3720