9.6 计算机取证

带有恶意软件的内存镜像下载:https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples

DumpIt v1.3.2:https://qpdownload.com/dumpit/

一、volatility v2.6

1.使用内存镜像转储工具dumpit生成内存镜像文件(.raw)或者使用虚拟机快照文件(.vmem)

9.6 计算机取证

2.使用imageinfo 插件获取内存镜像信息,如操作系统版本、CPU等信息。

可使用-h参数查看volatility的命令选项和支持的插件。一般使用格式:

volatility -f [image] --profile=[profile]  [plugin]

如下图,插件所在目录:/usr/lib/python2.7/dist-packages/volatility/plugins

9.6 计算机取证

volatility -f WIN7.raw imageinfo

 

-f:指定内存镜像文件名

imageinfo:用于识别待分析的内存镜像信息

9.6 计算机取证

判断完镜像后,使用--profile指定操作系统版本

3、使用netscan插件查看网络连接状态

注:不同的操作系统使用的插件可能不同

volatility -f WIN7.raw --profile=Win7SP1x64 netscan

9.6 计算机取证

4.查看正在运行的进程

volatility -f WIN7.raw --profile=Win7SP1x64 pstree

9.6 计算机取证

5.使用cmdscan提取出内存中保留的cmd命令使用情况:

9.6 计算机取证

6.svcscan:该插件可查看在内存镜像上注册了哪些服务

9.6 计算机取证9.6 计算机取证

7.使用iehistory插件获取IE浏览器的缓存和历时,可查询到用户的访问连接和重定向链接等等。

9.6 计算机取证

8.userassist:可查看系统中已安装程序执行的次数和最后一次运行的时间

9.6 计算机取证9.6 计算机取证

9.hivelist:打印输出注册表蜂巢的列表,包括注册表的虚拟地址以及各个注册表项的完整路径。

9.6 计算机取证 

hivedump:打印输出指定注册表项的所有子项

9.6 计算机取证

printkey:打印输出指定注册表项下的所有子键及其键值 "SAM\Domains\Account\Users\Names"

9.6 计算机取证

"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"查看最后登录系统的用户,其中Last updated指的是该用户信息最后被修改的时间而不是最后的登录时间。

9.6 计算机取证

10.若想全方位地将内存中的信息提取出来,可以使用 timeliner插件,它会从多个位置来收集系统的活动信息,包括System time、IEHistory、Process、DLL等等。

9.6 计算机取证

10.恶意代码:

 

上一篇:kali linux之取证


下一篇:django makemigrations和migrate 映射问题