取证
工具¶
dump 内存镜像:Dumpit
磁盘取证解密器:Elcomsoft Forensic Disk Decryptor
内存取证volatility 使用¶
建议的profile Win7SP1x64 参考 插件:
-
获得 profile 参数
volatility -f mem.vmem imageinfo -
get 一个 shell
volatility -f mem.vmem –profile=WinXPSP2x86 -
进程列表
volatility -f mem.vmem –profile=WinXPSP2x86 pslist -
内存中的注册表
volatility -f mem.vmem –profile=WinXPSP2x86 hivelist打印出值volatility -f mem.vmem –profile=WinXPSP2x86 hivedump -o [reg address] -
获取用户
volatility -f mem.vmem –profile=WinXPSP2x86 printkey -K “SAM\Domains\Account\Users\Names” -
最后登录系统
volatility -f mem.vmem –profile=WinXPSP2x86 printkey -K “SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” -
dump 一个进程的数据
volatility -f mem.vmem –profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] -
dump cmd 命令情况
volatility -f mem.vmem –profile=WinXPSP2x86 cmdscan -
notepad 内容
volatility -f mem.vmem –profile=WinXPSP2x86 notepad -
内存进程 dump
volatility -f mem.vmem –profile=WinXPSP2x86 memdump -p [pid] --dump-dir=./
foremost xx.dump -
登录情况
volatility -f mem.vmem –profile=WinXPSP2x86 hashdump -
查找文件
volatility -f mem.vmem –profile=WinXPSP2x86 filescan | grep -E 'jpg|png|jpeg|bmp|gif|zip|txt'也可以| grep Desktop,发挥想象力。 -
dump 文件
volatility -f file_patched.dmp --profile=Win7SP1x86_23418 dumpfiles -D ./ -Q 0x000000000e080690 -
connscan 扫描 tcp 链接
volatility connscan -f mem.vmem –profile=WinXPSP2x86
其他工具¶
//todo
https://www.caine-live.net/page8.html
https://linux.cn/article-5541-1.html
本页面的全部内容在 CC BY-NC-SA 4.0 协议之条款下提供,附加条款亦可能应用。