介绍：取证题在ctf中占比越来越大，作为新入ctf的我来说，打的几场ctf几乎每次都有取证题，之前的比赛也都是无可奈何，终于沉下心认真复现了一道题目。

volatility的安装

以前的老版本kali有自带的volatility，所以能够直接使用，但是现在的版本基本上都需要自己下载安装了，主要是依赖于python环境安装，需要一些库，建议使用python3

下载链接：https://www.volatilityfoundation.org/releases

下载好之后直接到根目录直接运行vol.py就可以！

题目链接：https://buuoj.cn/match/matches/3/challenges

命令

1.查询镜像信息

python vol.py -f mem.raw imageinfo

 2.查看镜像进程

python vol.py -f mem.raw --profile=Win7SP1x86 pslist 

 在这里可以查看一些可疑进程，本题就有三个可疑进程

3.举例其中一个进程dump下来

python vol.py -f mem.raw --profile=Win7SP1x86 memdump -p 3364 -D 

dump下来的进程可以具体分析

4.对dump下来的进程查找是否存在key，password等

举例:

python vol.py -f mem.raw --profile=Win7SP1x86 pslist | find "mspaint.exe"

 5.windows常见进程名

TrueCrypt.exe 磁盘加密工具notepad.exe 自带记事本mspaint.exe 自带画图工具iexplore.exe IE浏览器DumpIt.exe 内存镜像提取工具

6.列举进程表

python vol.py -f mem.raw --profile=Win7SP1x86 hivelist

 7.提取注册表信息

python3 vol.py -f mem.raw --profile=Win7SP1x86 hivedump -o 0x82a9fb38

8.获取ie浏览器历史记录

python vol.py -f mem.raw --profile=Win7SP1x86 iehistory

 9.列举用户名以及密码

python vol.py -f mem.raw --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"

 10.获取最后登录用户的用户名以及密码

python vol.py -f mem.raw --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows Nt\CurrentVersion\Winlogon"

 11.查看cmd命令

python vol.py -f mem.raw --profile=Win7SP1x86 cmdscan

12. 查看cmd详细情况

python vol.py -f mem.raw --profile=Win7SP1x86 cmdline

13.复制，剪切版

python vol.py -f mem.raw --profile=Win7SP1x86 clipboard
python vol.py -f mem.raw --profile=Win7SP1x86 dlllist -p 3820

注：后续如果有其他的命令会持续更新