Volatility取證大殺器

Volatility學(xué)習(xí)

Volatility是一款開源的內(nèi)存取證軟件，支持Windows、Mac、linux（kali下等等）環(huán)境下使用。并且分別有Volatility2與Volatility3兩個(gè)大版本，依次需要在py2、py3的環(huán)境下進(jìn)行使用，也要確保系統(tǒng)中已安裝環(huán)境，安裝pycrpto庫(kù)函數(shù)。

學(xué)習(xí)方向（個(gè)人見解）：對(duì)于常規(guī)比賽中的內(nèi)存取證，多為查看計(jì)算機(jī)版本號(hào)、PID、PPID、SID、密碼、時(shí)間等等之類的。不過就比賽而言，掌握基礎(chǔ)命令，去解決比賽中的題目足矣，并且內(nèi)存取證也有很多小工具、小程序，要與Volatility結(jié)合而用，包括與取證大師、仿真的虛擬機(jī)一同查看探究，我認(rèn)為更多的要注重于時(shí)間線，可以得到很多意想不到的的結(jié)果。

其次，就現(xiàn)實(shí)生活中的工作當(dāng)中，內(nèi)存取證涉及方面寬、廣、面大，需要我們共同去探究學(xué)習(xí)！最后希望大家共同進(jìn)步！

下載安裝

下載：官網(wǎng)下載即可

下載網(wǎng)址：

https://www.volatilityfoundation.org/releases（切記：下載時(shí)仍然保留）

Windows環(huán)境下下載軟件包

打開后

直接輸入CMD打開使用（簡(jiǎn)單方便）

學(xué)習(xí)使用，以2019年美亞杯個(gè)人賽鏡像為準(zhǔn)則

只需將鏡像拖入 后續(xù)便可直接進(jìn)行使用

命令學(xué)習(xí)

（本次多為Windows大環(huán)境下的使用）

判斷未知內(nèi)存鏡像系統(tǒng)版本信息

命令：volatility -f 文件路徑 imageinfo

kali下解析（命令相同 做一演示）

選擇版本的型號(hào)

命令：pslist/pstree/psscan：

非常有用的插件，列出轉(zhuǎn)儲(chǔ)時(shí)運(yùn)行的進(jìn)程的詳細(xì)信息；顯示過程ID，該父進(jìn)程ID（PPID），線程的數(shù)目，把手的數(shù)目，日期時(shí)間時(shí)，過程開始和退出

pslist無法顯示隱藏/終止進(jìn)程

其次在volatility中尋找自己需要的信息是非常煩瑣的，因此導(dǎo)出查看可以為我們提供便利

命令：volatility -f mem.vmem --profile=WinXPSP2 x86 pslist >pslist.txt

命令：

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

任何數(shù)據(jù)都可以導(dǎo)出，然后進(jìn)行使用

比如：導(dǎo)出“查看服務(wù)（svcscan）”的數(shù)據(jù)

命令：hivelist：查看緩存在內(nèi)存的注冊(cè)表

命令：hashdump:獲取內(nèi)存中的系統(tǒng)密碼

命令：getsids：查看SID

volatility -f bb.raw--profile=Win7SP1x86_23418 getsids

打印機(jī)在注冊(cè)表中的位置

借鑒:（助于大家學(xué)習(xí)）

https://www.doc88.com/p-9107655008710.html?r=1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPrintComponents默認(rèn)瀏覽器注冊(cè)表

取證例題

小明不小心把自己出題的flag在微信中發(fā)了出去，你能找到這個(gè)flag嗎？附件下載提取碼（GAME）

https://share.weiyun.com/YHLKL9tn

備用下載

https://pan.baidu.com/s/1ttL3WmlMn48RDXGCIy6VkQ

1、查看文件

2、思路整合

根據(jù)題意flag在微信當(dāng)中因此思路為 Find wechat→導(dǎo)出數(shù)據(jù)庫(kù)→破解→得到flag

四個(gè)可疑進(jìn)程

3、尋找關(guān)鍵信息

4、導(dǎo)出

gift導(dǎo)出，發(fā)現(xiàn)出來dat文件，但是dat文件可以進(jìn)行修改后綴。改為jpg格式，打開后發(fā)現(xiàn)如下。

5、結(jié)合所學(xué)知識(shí)得到flag

使用010 editor進(jìn)行修改圖片大小

Passwd:

Nothing is more important than your life!

解碼：

c0778cb1c62f4e5bb246f8dfe5dec0117e4ae15959794d88886a4a2c5cde9354
base64解碼網(wǎng)址：https://the-x.cn/zh-cn/base64

在文件里輸入cmd 輸入命令 python（不知道python版本號(hào)，那么就直接輸入python）

腳本→

修改偏移量

123.py -k

c0778cb1c62f4e5bb246f8dfe5dec0117e4ae15959794

d88886a4a2c5cde9354 -d wechat.dat

命令總結(jié)

比賽、實(shí)戰(zhàn)中常用的命令總結(jié)方便大家學(xué)習(xí)使用

命令：volatility -f 文件路徑 imageinfo 判斷未知內(nèi)存鏡像系統(tǒng)版本信息

命令：pslist/pstree/psscan 顯示過程ID，該父進(jìn)程ID（PPID），線程的數(shù)目，把手的數(shù)目，日期時(shí)間時(shí)，過程開始和退出

命令：導(dǎo)出 volatility-f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

命令：svcscan 查看服務(wù)的數(shù)據(jù)

命令：hivelist：查看緩存在內(nèi)存的注冊(cè)表

命令：hashdump:獲取內(nèi)存中的系統(tǒng)密碼

命令：getsids：查看SID

命令：iehistory 查看瀏覽器歷史記錄

命令：查看服務(wù) svcscan

命令：查看運(yùn)行程序相關(guān)的記錄，比如最后一次更新時(shí)間，運(yùn)行過的次數(shù)等 userassist

命令：netscan 查看網(wǎng)絡(luò)連接

命令：filescan 查看文件

命令：printkey 獲取SAM表中的用戶

命令：檢索最后的登入用戶

printkey-K "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogin"

命令：sockscan TrueCrypt摘要

審核編輯 ：李倩