Kali Linux渗透测试 151 取证工具-Volatility
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程Kali Linux渗透测试(苑房弘)博客记录1. 制作内存镜像取证工具 Comae-Toolkit-Light使用其中的 DumpIt 制作内存镜像文件,内存文件与内存大小接近或者稍微大一点2. 分析内存文件插件位置/usr/lib/python2.
·
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程
1. 制作内存镜像
http://www.downloadcrew.com/article/23854-dumpit
使用其中的 DumpIt 制作内存镜像文件,内存文件与内存大小接近或者稍微大一点
2. 分析内存文件
-
插件位置
/usr/lib/python2.7/dist-packages/volatility/plugins
-
查询文件信息,关注 profile
volatility imageinfo -f win.dmp imageinfo
-
v查询数据库文件
volatility hivelist -f win.dmp --profile=Win7SP1x86
volatility hivelist -f win.dmp --profile=Win7SP1x86 pslist volatility hivelist -f win.dmp --profile=Win7SP1x86 pstree
-
按虚内存地址查看注册表内容
volatility -f win.dmp --profile=Win7SP1x86 hivelist
volatility -f win.dmp --profile=Win7SP1x86 hivedump -o 0x91fa1648
-
查看用户账号
volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SAM\Domains\Account\Users\Names"
-
最后登录的用户
volatility -f win.dmp --profile=Win7SP1x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
-
正在运行的程序、运行过多少次、最后一次运行时间等
volatility -f win.dmp --profile=Win7SP1x86 userassist
-
进程列表及物理内存
volatility -f win.dmp --profile=Win7SP1x86 pslist
-
dump 进程内存
volatility -f win.dmp --profile=Win7SP1x86 memdump -p 3684 -D dumpdir/
root@kali:~/dumpdir# hexeditor 3684.dmp
-
提取字符串
root@kali:~/dumpdir# strings 3684.dmp > 1111.txt root@kali:~/dumpdir# strings 3684.dmp | grep password root@kali:~/dumpdir# strings 3684.dmp | grep / root@kali:~/dumpdir# strings 3684.dmp | grep @
-
-
命令历史
volatility cmdscan -f win.dmp --profile=Win7SP1x86
-
网络连接
volatility netscan -f win.dmp --profile=Win7SP1x86
-
IE 历史
volatility iehistory -f win.dmp --profile=Win7SP1x86
-
提取hash
volatility -f win.dmp --profile=Win7SP1x86 hivelist
#volatility -f win.dmp --profile=Win7SP1x86 hashdump -y system虚地址 -s SAM虚地址 volatility -f win.dmp --profile=Win7SP1x86 hashdump -y 0x8a81c008 -s 0x95f26558
3. firefoxhistory 插件
- Firefoxhistory 插件
mv /root/volatility-plugins-master/*.py /usr/lib/python2.7/dist-packages/volatility/plugins/
# 使用 firefoxhistory
volatility -f win.dmp --profile=Win7SP1x86 firefoxhistory
4. USN 日志记录插件
-
NTFS 特性,用于跟踪硬盘内容变化(不记录具体变更内容)
wget https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py mv usnparser.py /usr/lib/python2.7/dist-packages/volatility/plugins/ volatility -f win.dmp --profile=Win7SP1x86 usnparser --output=csv --output-file=usn.csv
5. Timeline 插件
-
从多个位置收集大量系统活动信息
volatility -f win.dmp --profile=Win7SP1x86 timeliner
6. 内存取证案例分析
-
内存取证发现恶意软件的镜像
-
内存取证发现恶意软件
-
查看信息
volatility -f cridex.vmem imageinfo
-
查看进程数
volatility -f cridex.vmem --profile=WinXPSP3x86 pstree
-
查看网络连接
volatility connscan -f cridex.vmem --profile=WinXPSP3x86
-
查看 SID
volatility -f cridex.vmem --profile=WinXPSP3x86 getsids -p 1484
-
调用库的数量
volatility -f cridex.vmem --profile=WinXPSP3x86 dlllist -p 1484
-
检查结果查毒
volatility -f cridex.vmem --profile=WinXPSP3x86 malfind -p 1484 -D dumpdir
ls process.0x821dea70.0x1460000.dmp
-
更多推荐
已为社区贡献11条内容
所有评论(0)