j4s0nh4ck
- 浏览: 290805 次
-
文章分类
- 全部博客 (276)
- burp+hydra暴力破解 (1)
- kali linux工具集 (6)
- kali (59)
- linux (54)
- password (14)
- web (63)
- 渗透测试 (50)
- windows (40)
- metasploit (9)
- 信息收集 (32)
- burp suit (4)
- 安全审计 (9)
- https://github.com/secretsquirrel/the-backdoor-factory (0)
- nmap (4)
- arachni (2)
- 工具 (5)
- sql (3)
- 网络 (2)
- 后渗透测试 (10)
- 内网 (5)
- 无线 (2)
- C (3)
- bios (1)
- RoR (12)
- mongodb (1)
- linxu (1)
- gdb (1)
- linux,虚拟化 (1)
- python (4)
最新评论
原文地址:https://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/
1. 从memory dump 获得一些信息
现在我们知道该memory dump的profile类型是Win7SP1x86
2. 接下来我们获得注册表的位置
volatility hivelist -f memdumpfilename.raw –profile=Win7SP1x86(使用两个-,因为由于某些原因,他们显示为一个-)
3. 从内存中获得密码hash
我们需要知道system和sam key的起始位置,查找上图,copy SYSTEM和SAM位置的第一列,把输出保存到hashs.txt文件中
得到结果:
1. 从memory dump 获得一些信息
volatility imageinfo -f memorydumpfilename.raw
现在我们知道该memory dump的profile类型是Win7SP1x86
2. 接下来我们获得注册表的位置
volatility hivelist -f memdumpfilename.raw –profile=Win7SP1x86(使用两个-,因为由于某些原因,他们显示为一个-)
3. 从内存中获得密码hash
我们需要知道system和sam key的起始位置,查找上图,copy SYSTEM和SAM位置的第一列,把输出保存到hashs.txt文件中
volatility hashdump -f memdumpfilename.raw –profile=Win7SP1x86 -y 0x87c1a248 -s 0x8bfaa008 > hashs.txt (double dashes in front of profile)
得到结果:
分享到:
发表评论
-
[图] windows 10
2015-08-18 20:37 314网上下载的图片,忘了来源 -
windows提权集合
2015-06-30 00:23 602https://blog.netspi.com/5-ways- ... -
[转]Access to every PC and become local Admin
2015-06-29 21:50 533原文地址:http://www.gosecure.it/blo ... -
[转]Top Five Ways SpiderLabs Got Domain Admin on Your Internal Network
2015-06-29 21:46 1682原文地址:https://www.trustwave.com/ ... -
[转]如何获得window管理员权限
2015-06-29 21:21 481引用A tutorial on how to get into ... -
Window提权基本步骤
2015-06-03 22:00 784原文地址: http://www.fuzzysecurity. ... -
[转]malware persistence
2015-05-06 23:46 413原文地址:http://jumpespjump.blogspo ... -
[转]backdoor a windows domain
2015-05-06 22:56 504原文地址:http://jumpespjump.blogspo ... -
[译]解密MSSQL密码
2015-03-26 00:43 2886原文地址: https://blog.ne ... -
[转]badsamba
2015-03-20 00:55 330原文地址:http://blog.gdssecurity.co ... -
[译]使用wireshark解密TLS浏览器流量
2015-03-12 00:57 4145原文地址:https://jimshaver.net/2015 ... -
[转]John the ripper hash format cheetsheet
2015-03-10 01:30 1050原文地址:http://pentestmonkey.net/c ... -
window增加硬盘性能方法
2015-02-05 01:03 357参考地址:http://way2h.blogspot.com/ ... -
[译]Skeleton Key Malware & Mimikatz
2015-01-28 20:29 812原文地址: http://adsecurity.org/?p= ... -
绕过PowerShell执行策略的15种方法
2015-01-28 02:27 999https://blog.netspi.com/15-ways ... -
[翻译]oledump: Extracting Embedded EXE From DOC
2015-01-04 22:40 950原文地址:http://blog.didierstevens. ... -
[工具]volatility----Windows内存取证
2015-01-04 22:01 1549下载地址:https://github.com/volatil ... -
[译]Windows提权:ahcache.sys/NtApphelpCacheControl
2015-01-03 21:12 1033原文地址:https://code.google.com/p/ ... -
man crunch
2014-12-28 23:35 405http://adaywithtape.blogspot.co ... -
password
2014-12-28 17:32 408wordlist: http://hashcrack.blog ...
相关推荐
在实际操作中,取证人员还需要结合其他工具和方法,如使用 volatility 的 `modules` 插件来查找已加载的模块,或使用 `hashdump` 插件来获取密码哈希,以全面了解系统的状态。此外,理解Windows 10的内核结构、内存...
Volatility的核心理念是基于内存分析,它可以从内存映像中提取各种数据,包括进程列表、网络连接、密码哈希、注册表项等。Volatility依赖于插件架构,这意味着它拥有众多插件来处理特定的分析任务,这些插件针对不同...
在信息安全领域,内存取证(Memory Forensics)是一种关键的技术手段,用于在计算机系统内存中寻找和分析潜在的犯罪证据或安全威胁。Volatility是一款开源的、强大的内存取证框架,广泛应用于恶意软件分析、网络安全...
它能够帮助分析师在不依赖原始主机的情况下,从内存转储文件中提取出关键信息,如进程列表、网络连接、注册表项、密码、恶意软件活动等。这对于调查网络安全事件、追踪犯罪行为以及检测恶意软件活动具有极大的价值。...
3. **内存映像处理**:Volatility能够处理多种类型的内存映像,包括 live memory dumps(实时内存转储)、hibernation files(休眠文件)和蓝屏转储文件。 4. **时间线分析**:通过重建系统的活动时间线,...
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
这个压缩包文件`volatility3-2.0.0.tar.gz`包含了完整的源代码和相关文档,让用户可以直接进行编译和使用。 在云原生(Cloud Native)的时代,分布式系统和容器技术如Zookeeper和Kubernetes等已成为主流。Volatility3...
Volatility是一款强大的开源工具,主要用于内存取证分析,它能够在不触及硬盘的情况下,从系统内存中提取关键信息。Volatility 2.6 lin64_standalone.zip是该工具的一个Linux版本,专为64位系统设计,具有独立运行的...
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
- **Keychain**:尝试从内存中提取密码和密钥信息。 在实际的计算机取证过程中,Volatility的使用通常伴随着其他工具,如内存镜像获取工具(如dd或memdump)和数据分析工具。在分析过程中,可能需要结合日志文件、...
Volatility是一款强大的开源工具,专用于Windows和Linux系统的内存分析,它可以从内存映像中提取出关键信息,包括进程、线程、网络连接、注册表项等。本篇文章将详细介绍如何在Linux环境中使用Volatility进行内存...
为了提高分析的准确性,交易者通常会将 Chaikin Volatility 结合其他技术指标一起使用,如MACD、RSI或布林带等。通过多角度分析,可以帮助交易者更好地理解市场动态,制定更有效的交易策略。 总结,Chaikin ...
MetaTrader 5(MT5)是全球金融市场中广泛使用的交易平台之一,它为交易者提供了丰富的技术分析工具和自定义指标功能。"Volatility - MetaTrader 5脚本.zip"这个压缩包包含了一个名为"volatility.mq5"的文件,这是一...
在MT5平台中,开发者使用MQL5语言编写了Volatility Ratio2.mq5文件,这是一种专门用于MT5的编程语言,它允许用户创建自定义指标、专家顾问(EA)和脚本,实现自动化交易和定制化分析。Volatility Ratio2.mq5代码中,...
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名...
标题中的“Volatility内存取证命令合集”指向了这是一份关于Volatility框架的详细指令列表。Volatility是一个开源内存取证框架,它允许安全分析人员在运行中的计算机系统上提取、分析和调查内存中的数据。这些数据...
Volatility是一个完全开源的工具集,它是由Python编写并发布在GNU通用公共许可证下的,用于从易失性内存(RAM)样本中提取数字取证证据。该框架的技术核心在于独立于被调查的系统进行提取操作,但同时提供了对系统...
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。