目录
内存取证
手机取证
内存取证
内存取证:
首先使用取证大师,取证大师目前只支持到win8及以下的版本的内存的解析;
方法二:使用kali linux系统去获取版本,因为kali linux自带Volatility插件功能;
首先、运行Kali Linux系统进入Volatility
一、对mem.vmem内存信息进行获取
判断未知内存镜像系统版本信息
volatility -f 文件路径 imageinfo
imageinfo 用于标识操作系统、service pack和硬件体系结构(32位或64位);可能有多个建议的配置文件,我们必须选择正确的配置文件
例如:volatility -f mem.vmem imageinfo
或者使用命令:kdbgscan
获取内存操作系统
二、使用命令:
命令格式:
volatility -f 文件镜像 --profile=<运用的东西> <插件名字> <各种命令>
--profile是调用的配置文件,这个要与插件结合起来
命令1:pslist/pstree/psscan :非常有用的插件,列出转储时运行的进程的详细信息;显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出
pslist无法显示隐藏/终止进程,解决这个问题可以使用psscan,
pstree同样也是扫描进程的,但是是以进程树的形式出现的
例如:volatility -f mem.vmem --profile=WinXP SP2 x86 pslist
当内容比较多时候,导出文本进一步分析查看
volatility -f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt
volatility -f bb.raw --profile=Win7SP1x86_23418 pstree
命令2:cmdscan: 用来查看受害者系统上攻击操作系统的最强大的命令之一,无论是否打开cmd.exe。简单说,可以看到攻击者在命令提示符中键入的内容;提取内存中保留的 cmd 命令使用情况
命令3:filescan:扫描当前打开的文件
例如:volatility -f bb.raw --proifile=Win7SP1x86_23418 filescan
使用正则表达式一起使用:
volatility -f file_patched_tjctf.dmp --profile=Win7SP1x86_23418 filescan | grep Downloads
找下载的文件夹了,一般windows下载的内容都放在 Download 文件夹中。
命令4:dlllist命令:能够显示一个进程装载的动态链接库的信息,其显示列表主要包括加载的动态链接库文件的基地址、文件大小以及文件所在路径
命令5:hivelist:查看缓存在内存的注册表
volatility -f bb.raw --profile=Win7SP1x86_23418 hivelist
命令6:hashdump:获取内存中的系统密码
volatility -f bb.raw --profile=Win7SP1x86_23418 hashdump
命令7:userassist:提取出内存中记录的 当时正在运行的程序有哪些,运行过多少次,最后一次运行的时间等信息
volatility -f bb.raw --profile=Win7SP1x86_23418 userassist
命令8:getsids:查看SID
volatility -f bb.raw --profile=Win7SP1x86_23418 getsids
命令9:malfind:用于寻找可能注入到各种进程中的恶意软件.使用malfind时也可以使用-p直接指定进程, 从上图中可以看到pid是608对应的进程是winlogon.exe
volatility -f bb.raw --profile=Win7SP1x86_23418 malfind
volatility -f bb.raw --profile=Win7SP1x86_23418 malfind -p 608
命令10:printkey: 获取SAM表中的用户
比如:volatility -f mem.vmem �C-profile=WinXPSP2x86 printkey -K “SAM;Domains;Account;Users;Names”
发现账户四个用户,分别为:
Administrator
Guest
HelpAssistant
SUPPORT_388945a0
命令11:mftparser
volatility -f 镜像 --profile= mftparser
命令12:timeliner
可以查看访问记录
命令13:svcscan 该命令能查看windows的服务
发现这个内存镜像的系统版本信息为: WinXP SP2 x86位
列举缓存在内存的所有进程
使用命令:volatility -f mem.vmem �Cprofile=WinXPSP2x86 pslist
发现这个内存中缓存的所有进程信息和进程号以及时间。
列举缓存在内存的注册表
使用命令:volatility -f mem.vmem �Cprofile=WinXPSP2x86 hivelist
发现注册表信息和所在的路径
打印出注册表中的数据
打印Liunx中注册表的命令需要用到的命令为hivedump
具体命令为:Volatility -f mem.vmem �Cprofile=WinXPSP2x86 hivedump -o 注册表的 virtual 地址
由列举内存中注册表信息可以看出,注册表的虚拟地址:
;Device;HarddiskVolume1;WINDOWS;system32;config;software
对应的字节号为0xe146c398
列举出了所有使用过的regedit注册表命令。
获取SAM表中的用户
使用命令:volatility -f mem.vmem �Cprofile=WinXPSP2x86 printkey -K “SAM;Domains;Account;Users;Names”
发现账户四个用户,分别为:Administrator Guest HelpAssistantSUPPORT_388945a0
提取出内存中记录的 当时正在运行的程序有哪些,运行过多少次,最后一次运行的时间等信息
使用命令:volatility -f mem.vmem �Cprofile=WinXPSP2x86 userassist
手机取证
插眼
(100条消息) Android-APP 安全(六)之android取证_子曰小玖的博客-CSDN博客_安卓取证https://blog.csdn.net/wxh0000mm/article/details/100694117
ADB( Android Debug Bridge)是一个客户端、服务器端程序,其中客户端是用来操作的电脑,服务器端是android设备,在电脑上通过ADB命令行对手机系统进行操作。cmd中
adb devices :查看当前连接设备 adb shell pm list packages :列出手机装的所有apk包名 adb shell dumpsys meminfo [packagename/pid] :查看进程当前的内存情况 adb shell dumpsys dbinfo[packagename] :查看指定包名应用的数据库储存信息 adb pull 设备目录 本地目录 :将手机设备中的文件copy到本地计算机
查看apk信息
提取数据库
提取apk
用apktool BOX转
用jd-gui打开java文件
