内存取证常见例题思路方法-volatility (没有最全只有更全)

Posted 2023-03-04 路baby

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了内存取证常见例题思路方法-volatility (没有最全只有更全)相关的知识，希望对你有一定的参考价值。

1.从内存文件中获取到用户hacker 的密码并且破解密码，将破解后的密码作为 Flag值提交;

2.获取当前系统的主机名，将主机名作为Flag值提交;

3.获取当前系统浏览器搜索过的关键词，作为Flag提交;

4.获取当前内存文件的 ip地址

5.当前系统中存在的挖矿进程，请获取指向的矿池地址，将矿池的IP地址作为. Flag值提交(局域网ip);.

6.恶意进程在系统中注册了服务，请将服务名以 Flag服务名形式提交。

7.请将内存文件中的剪贴板内容作为flag 值提交;

8.从内存文件中获取记事本的内容，并将该内容作为flag值提交;

9.从内存文件中获取截图的内容，并将该内容作为flag值提交;

10.从内存文件中获取黑客进入系统后下载的图片，将图片中的内容作为 Flag值提交。

11.查看被删除的文件里的内容

12.最后一次更新时间，运行过的次数为 Flag值提交。

13.将最后一次cmd的命令当作flag

加油各位( •̀ ω •́ )y 期待与君再相逢

决定出一期内存取证常见题型的文章，利于诸君平时做题文章也会持续更新

如果需要详细的安装教程和插件使用请查看以下文章

内存取证-volatility工具的使用（史上更全教程，更全命令）_路baby的博客-CSDN博客内存取证-volatility工具的使用（史上更全教程，更全命令）安装步骤命令解析工具插件分析例题讲解https://blog.csdn.net/m0_68012373/article/details/127419463

1.从内存文件中获取到用户hacker 的密码并且破解密码，将破解后的密码作为 Flag值提交;

先获取内存文件的profile，使用imageinfo 插件即可

volatility -f xxx.vmem imageinfo

使用 "SAM\\Domains\\Account\\Users\\Names"查看用户（这一步可有可无）

volatility -f xxx.vmem --profile=[操作系统] printkey -K "SAM\\Domains\\Account\\Users\\Names"

破密码

volatility -f xxx.vmem --profile=[操作系统] hashdump(hashcat或者john 去破解)

volatility -f xxx.vmem --profile=[操作系统] mimikatz

volatility -f xxx.vmem --profile=[操作系统] lsadump

2.获取当前系统的主机名，将主机名作为Flag值提交;

volatility -f xxx.vmem --profile=[操作系统] printkey -K "ControlSet001\\Control\\ComputerName\\ComputerName"

volatility -f xxx.vmem --profile=[操作系统] envars(查看环境变量)

3.获取当前系统浏览器搜索过的关键词，作为Flag提交;

volatility -f xxx.vmem --profile=[操作系统] iehistory

4.获取当前内存文件的 ip地址

volatility -f xxx.vmem --profile=[操作系统] netscan

volatility -f xxx.vmem --profile=[操作系统] connscan

volatility -f xxx.vmem --profile=[操作系统] connections

5.当前系统中存在的挖矿进程，请获取指向的矿池地址，将矿池的IP地址作为. Flag值提交(局域网ip);.

volatility -f xxx.vmem --profile=[操作系统] netscan(找唯一一个已建立的 ESTABLISHED)

6.恶意进程在系统中注册了服务，请将服务名以 Flag服务名形式提交。

volatility -f xxx.vmem --profile=[操作系统] pslist -p [子进程号]

(子进程好上一题可知)

得到父进程

然后在通过通过svcscan可以查询服务名称，根据父进程找到对应服务名

volatility -f xxx.vmem --profile=[操作系统] svcscan

7.请将内存文件中的剪贴板内容作为flag 值提交;

volatility -f xxx.vmem --profile=[操作系统] clipboard

8.从内存文件中获取记事本的内容，并将该内容作为flag值提交;

volatility -f xxx.vmem --profile=[操作系统] editbox

volatility -f xxx.vmem --profile=[操作系统] notepad

9.从内存文件中获取截图的内容，并将该内容作为flag值提交;

volatility -f xxx.vmem --profile=0S screenshot --dump-dir=./

10.从内存文件中获取黑客进入系统后下载的图片，将图片中的内容作为 Flag值提交。

volatility -f xxx.vmem --profile=[操作系统] filescan | grep -E "png|jpg|gif|bmp|zip|rar|7z|pdf|txt|doc"

11.查看被删除的文件里的内容

volatility -f xxx.vmem --profile=[操作系统] mftparser

12.最后一次更新时间，运行过的次数为 Flag值提交。

volatility -f xxx.vmem --profile=[操作系统] userassist

13.将最后一次cmd的命令当作flag

volatility -f xxx.vmem --profile=[操作系统] cmdscan

（var code = "d1fe3149-c5e5-43ce-a460-239974b8c936"）

加油各位( •̀ ω •́ )y 期待与君再相逢🎈

以上是关于内存取证常见例题思路方法-volatility (没有最全只有更全)的主要内容，如果未能解决你的问题，请参考以下文章

[内存取证]Volatility基本用法

volatility内存取证

内存取证工具——volatility 常用命令

内存取证-volatility工具的使用（史上更全教程，更全命令）

内存取证例题

CTF内存取证

内存取证常见例题思路方法-volatility (没有最全 只有更全)

1.从内存文件中获取到用户hacker 的密码并且破解密码，将破解后的密码作为 Flag值提交;

2.获取当前系统的主机名，将主机名作为Flag值提交;

3.获取当前系统浏览器搜索过的关键词，作为Flag提交;

4.获取当前内存文件的 ip地址

5.当前系统中存在的挖矿进程，请获取指向的矿池地址，将矿池的IP地址作为. Flag值提交(局域网ip);.

6.恶意进程在系统中注册了服务，请将服务名以 Flag服务名形式提交。

7.请将内存文件中的剪贴板内容作为flag 值提交;

8.从内存文件中获取记事本的内容，并将该内容作为flag值提交;

9.从内存文件中获取截图的内容，并将该内容作为flag值提交;

10.从内存文件中获取黑客进入系统后下载的图片，将图片中的内容作为 Flag值提交。

11.查看被删除的文件里的内容

12.最后一次更新时间，运行过的次数为 Flag值提交。

13.将最后一次cmd的命令当作flag

加油各位( •̀ ω •́ )y 期待与君再相逢🎈

内存取证常见例题思路方法-volatility (没有最全只有更全)