中職組網絡安全—內存取證

volatility -f test2.raw imageinfo

獲取鏡像詳細信息 profile參數很重要 後面還會用到

volatility -f test2.raw --profile=Win7SP1x64 hashdump

獲取鏡像的hash值及用戶名 獲取之後可以使用john工具進行字典解密 或者使用ophcrack破解

如果比賽的時候有mimikatz插件 可以直接使用mimikatz進行破解 直接出密碼

還有一種是 lsadump 能出來斷斷續續的密碼 不是完整的

volatility -f test2.raw --profile=Win7SP1x64 netscan 查看網絡連接情况

會出來很多信息 這裏ip根據開放的端口我們判斷是10.30.21.96 去虛擬機中檢測 也確是如此

volatility -f test2.raw --profile=Win7SP1x64 envars | grep USERNAME

即可查看主機名，注意要去掉後面的 $ 符號

獲取flag文件思路：

1. 獲取桌面文件名稱，猜解其內容

volatility -f test2.raw --profile=Win7SP1x64 filescan | grep Desktop

可以看到桌面上文件 但無法讀取其內容

2. 可能是桌面打開了一個notepad程序 使用notepad參數可以看到

volatility -f test2.raw --profile=Win7SP1x64 notepad

挖礦進程思路：

1. 先找名字异常的進程 比如Explore.exe 原系統進程是 explorer.exe

2. 在上一種方式魏國的情况下監察系統進程的啟動時間 從啟動時間判斷

3. 反正只要求提交端口和ip，找外部ip一個一個試

volatility -f test2.raw --profile=Win7SP1x64 netscan/connscan

volatility -f test2.raw --profile=Win7SP1x64 svcscan

volatility -f test2.raw --profile=Win7SP1x64 hivelist

獲取瀏覽器曆史記錄

volatility -f test2.raw iehistory

會給一個url 從裏面的參數可以看到搜索了什麼