一:使用volatility2版本
1、分析镜像
python2 vol.py -f /home/kali/桌面/worldskills3.vmem imageinfo
2、从内存中获取到用户admin的密码并且破解密码,以flag{admin,password}形式提交(密码为6位)
(1)查看系统用户
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"
(2)转储内存中的Windows帐户密码哈希
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 hashdump
发现没有解密成功;使用mimikatz插件获得密码
则Flag{admin:.dfsddew}
3、获取当前系统IP地址以及主机名,以Flag{ip:主机名}形式提交
(1)获取主机名
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 hivelist
(2)查看注册表信息
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 -o 0xfffff8a000024010 printke y
答案为:WIN-9FBAEH4UV8C
(3)获取IP地址
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 netscan
IP地址为:192.168.85.129
则Flag{WIN-9FBAEH4UV8C.192.168.85.129}
(4)获取当前系统浏览器搜索过的关键词,作为Flag提交
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 iehi story
则Flag{admin@file:///C:/Users/admin/Desktop/flag.txt}
(5)当前系统中存在挖矿进程,请获取指定的矿池地址,以Flag{}提交
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 pslist
则flag{54.36.109.161:2222}
(6)恶意进程在系统中注册了服务,请将服务名称以Flag{服务名}提交
上题已知恶意进程号为2588,找到process ID为3036
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 pslist -p 2588
根据process ID为3036,查找服务
python2 vol.py -f /home/kali/桌面/worldskills3.vmem --profile=Win7SP1x64 svcscan|grep 3036
则flag{VMnetDHCP}
二:volatility2常用命令
-
callbacks 打印全系统通知例程
-
clipboard 提取Windows剪贴板中的内容
-
cmdline 显示进程命令行参数
-
cmdscan 提取执行的命令行历史记录(扫描_COMMAND_HISTORY信息)
-
connections 打印系统打开的网络连接(仅支持Windows XP 和2003)
-
connscan 打印TCP连接信息
-
consoles 提取执行的命令行历史记录(扫描_CONSOLE_INFORMATION信息)
-
crashinfo 提取崩溃转储信息
-
deskscan tagDESKTOP池扫描(Poolscaner)
-
devicetree 显示设备树信息
-
dlldump 从进程地址空间转储动态链接库
-
amcache 查看AmCache应用程序痕迹信息
-
apihooks 检测内核及进程的内存空间中的API hook
-
cachedump 获取内存中缓存的域帐号的密码哈希
-
dlllist 打印每个进程加载的动态链接库列表
-
driverirp IRP hook驱动检测
-
drivermodule 关联驱动对象至内核模块
-
driverscan 驱动对象池扫描
-
dumpcerts 提取RAS私钥及SSL公钥
-
dumpfiles 提取内存中映射或缓存的文件
-
editbox 查看Edit编辑控件信息 (Listbox正在实验中)
-
envars 显示进程的环境变量
-
filescan 提取文件对象(file objects)池信息
-
gahti 转储用户句柄(handle)类型信息
-
gditimers 打印已安装的GDI计时器(timers)及回调(callbacks)
-
gdt 显示全局描述符表(Global Deor Table)
-
getservicesids 获取注册表中的服务名称并返回SID信息
-
getsids 打印每个进程的SID信息
-
handles 打印每个进程打开的句柄的列表
-
hashdump 转储内存中的Windows帐户密码哈希(LM/NTLM)
-
hibinfo 转储休眠文件信息
-
hivedump 打印注册表配置单元信息
-
hivelist 打印注册表配置单元列表
-
hivescan 注册表配置单元池扫描
-
hpakextract 从HPAK文件(Fast Dump格式)提取物理内存数据
-
hpakinfo 查看HPAK文件属性及相关信息
-
idt 显示中断描述符表(Interrupt Deor Table)
-
iehistory 重建IE缓存及访问历史记录
-
imagecopy 将物理地址空间导出原生DD镜像文件
-
imageinfo 查看/识别镜像信息
-
kdbgscan 搜索和转储潜在KDBG值
-
kpcrscan 搜索和转储潜在KPCR值
-
notepad 查看记事本当前显示的文本
-
objtypescan 扫描窗口对象类型对象
-
patcher 基于页面扫描的补丁程序内存
-
printkey 打印注册表项及其子项和值
-
privs 显示进程权限
-
procdump 进程转储到一个可执行文件示例
-
pslist 按照EPROCESS列表打印所有正在运行的进程
-
psscan 进程对象池扫描
-
pstree 以树型方式打印进程列表
-
psxview 查找带有隐藏进程的所有进程列表
-
qemuinfo 转储 Qemu 信息
-
raw2dmp 将物理内存原生数据转换为windbg崩溃储格式
-
screenshot 基于GDI Windows的虚拟屏幕截图保存
-
servicediff Windows服务列表(ala Plugx)
-
sessions _MM_SESSION_SPACE的详细信息列表(用户登录会话)
-
shellbags 打印Shellbags信息
-
shimcache 解析应用程序兼容性Shim缓存注册表项
-
shutdowntime 从内存中的注册表信息获取机器关机时间
-
sockets 打印已打开套接字列表
-
sockscan TCP套接字对象池扫描
-
ssdt 显示SSDT条目
-
strings 物理到虚拟地址的偏移匹配(需要一些时间,带详细信息)
-
svcscan Windows服务列表扫描
-
symlinkscan 符号链接对象池扫描
-
thrdscan 线程对象池扫描
-
threads 调查_ETHREAD 和_KTHREADs
-
timeliner 创建内存中的各种痕迹信息的时间线
-
timers 打印内核计时器及关联模块的DPC
-
truecryptmaster Recover 恢复TrueCrypt 7.1a主密钥
-
truecryptpassphrase 查找并提取TrueCrypt密码
-
truecryptsummary TrueCrypt摘要信息
-
unloadedmodules 打印卸载的模块信息列表
-
userassist 打印注册表中UserAssist相关信息
-
userhandles 转储用户句柄表
-
vaddump 转储VAD数据为文件
-
vadinfo 转储VAD信息
-
vadtree 以树形方式显示VAD树信息
-
vadwalk 显示遍历VAD树
-
ldrmodules 检测未链接的动态链接DLL
-
lsadump 从注册表中提取LSA密钥信息(已解密)
-
malfind 查找隐藏的和插入的代码
-
mbrparser 扫描并解析潜在的主引导记录(MBR)
-
memdump 转储进程的可寻址内存
-
memmap 打印内存映射
-
messagehooks 桌面和窗口消息钩子的线程列表
-
moddump 转储内核驱动程序到可执行文件的示例
-
modscan 内核模块池扫描
-
modules 打印加载模块的列表
-
multiscan 批量扫描各种对象
-
mutantscan 对互斥对象池扫描
-
vboxinfo 转储Virtualbox信息(虚拟机)
-
verinfo 打印PE镜像中的版本信息
-
vmwareinfo 转储VMware VMSS/VMSN 信息
-
volshell 内存镜像中的shell
-
windows 打印桌面窗口(详细信息)
-
wintree Z顺序打印桌面窗口树
-
wndscan 池扫描窗口站
-
yarascan 以Yara签名扫描进程或内核内存