Volatility取证工具使用日记

Volatility取证工具使用日记

还在学习，记录一下防止找不到！

输入volatility -h

可支持的插件

选中镜像分析

将哈希值dump下来

此时可以用mimikatz插件将明文密码下载下来（我没安装）

所以使用PTF（专门找密码的软件）

因为vmem属于内存文件，选择memory analysis

直接选windows更快

密码出来了

Pslist----------------列出进程信息

Hivelist--------------列出进程关联文件

选择一个文件下载下来

Hivedump  -o 虚地址（virtual）

Userassist-------------正在运行的程序

Filescan--------显示已经打开的文件包括隐藏文件

Netscan-------------监听主动连接（谁连接了你的地址）

世界技能大赛湖北省取证比赛

1. 获取admin密码

直接跑

对镜像文件分析

Hashdump下载，可用lasdump和mimikatz插件直接获取，我自己用ptf来

1. 获取IP和地址

Ip就是192.168.85.129

主机名

先扫注册表

Machine\system的虚地址

直接下载

找到主机键值

主机名

1. 获取桌面上的flag.txt
2. 原理我也不懂

查看

1. 找出挖矿病毒

Established代表连接

这就是挖矿地址

1. 病毒服务找出来

父进程3036

使用svcscan扫描

找到3036

Servername为服务名

1. 获得恶意进程pid

2588和3036就是恶意进程pid

暂时到这！