当前位置:网站首页>Volatility取证工具使用日记
Volatility取证工具使用日记
2022-07-31 05:10:00 【北纬二十七度雨】
Volatility取证工具使用日记
还在学习,记录一下防止找不到!
输入volatility -h
可支持的插件
选中镜像分析
将哈希值dump下来
此时可以用mimikatz插件将明文密码下载下来(我没安装)
所以使用PTF(专门找密码的软件)
因为vmem属于内存文件,选择memory analysis
直接选windows更快
密码出来了
Pslist----------------列出进程信息
Hivelist--------------列出进程关联文件
选择一个文件下载下来
Hivedump -o 虚地址(virtual)
Userassist-------------正在运行的程序
Filescan--------显示已经打开的文件包括隐藏文件
Netscan-------------监听主动连接(谁连接了你的地址)
世界技能大赛湖北省取证比赛
- 获取admin密码
直接跑
对镜像文件分析
Hashdump下载,可用lasdump和mimikatz插件直接获取,我自己用ptf来
- 获取IP和地址
Ip就是192.168.85.129
主机名
先扫注册表
Machine\system的虚地址
直接下载
找到主机键值
主机名
- 获取桌面上的flag.txt
- 原理我也不懂
查看
- 找出挖矿病毒
Established代表连接
这就是挖矿地址
- 病毒服务找出来
父进程3036
使用svcscan扫描
找到3036
Servername为服务名
- 获得恶意进程pid
2588和3036就是恶意进程pid
暂时到这!
边栏推荐
- Sword Point Offer Special Assault Edition ---- Day 2
- Kubernetes certificate validity period modification
- [MQ I can speak for an hour]
- Redis进阶 - 缓存问题:一致性、穿击、穿透、雪崩、污染等.
- leetcode-每日一题731. 我的日程安排表 II
- Input length must be multiple of 8 when decrypting with padded cipher
- 07 【内置指令 自定义指令】
- 数据集划分以及交叉验证法
- mysql 的简单运用命令
- leetcode-829. 连续整数求和(数论)
猜你喜欢
剑指offer专项突击版 ---- 第 6 天
Swordsman Offer Special Assault Edition ---- Day 6
【LeetCode-SQL每日一练】——2. 第二高的薪水
Kubernetes certificate validity period modification
![[MQ I can speak for an hour]](/img/ef/863c994ac3a7de157bd39545218558.jpg)
[MQ I can speak for an hour]
Why use Flink and how to get started with Flink?
Interviewer: If the order is not paid within 30 minutes, it will be automatically canceled. How to do this?
docker安装postgresSQL和设置自定义数据目录
Redis进阶 - 缓存问题:一致性、穿击、穿透、雪崩、污染等.
Proteus 8 Professional安装教程
随机推荐
第7章 网络层第3次练习题答案(第三版)
踏上编程之路,你必须要干的几件事
tf.keras.utils.pad_sequences()
C语言实验一 熟悉C程序的环境
leetcode-每日一题剑指 Offer II 041. 滑动窗口的平均值(队列模拟)
Flink sink ES 写入 ES(带密码)
Distributed Transactions - Introduction to Distributed Transactions, Distributed Transaction Framework Seata (AT Mode, Tcc Mode, Tcc Vs AT), Distributed Transactions - MQ
torch.normal function usage
[Introduction to MySQL 8 to Mastery] Basics - silent installation of MySQL on Linux system, cross-version upgrade
面试Redis 高可靠性|主从模式、哨兵模式、Cluster集群模式
Object Detection Study Notes
Redis first meeting
目标检测学习笔记
Sword Point Offer Special Assault Edition ---- Day 2
MySQL (updating)
11 【组件通信】
11 【定位】
10 【高度塌陷与BFC】
运用flask框架发送短信验证码的流程及具体代码
gin框架学习-JWT认证