volatility 3
系统基本信息
1
| py vol.py -f mem.raw windows.info
|
获取hash值(密码)
以500开头一般是系统管理员,1000开头是用户组
密码主要是看后半段,可以尝试cmd5破解
1
| py vol.py -f mem.raw windows.hashdump
|
1
2
3
4
5
| User rid lmhash nthash
Administrator 500 aad3b435b51404eeaad3b435b51404ee 1507e24d634a54c0b14750a7da2bdfdb
Guest 501 aad3b435b51404eeaad3b435b51404ee c22b315c040ae6e0efee3518d830362b
mumuzi 1000 aad3b435b51404eeaad3b435b51404ee 0606ac59df4a10d3a9e1f97b3612546f
|
进程
pslist 提供了一个简单的进程列表,psscan 专注于检测隐藏的进程,而 pstree 则专注于展示进程之间的层级关系。
1
| py vol.py -f mem.raw windows.pslist
|
1
| py vol.py -f mem.raw windows.psscan
|
1
| py vol.py -f mem.raw windows.pstree
|
扫描文件
扫描并列出文件可以拼接命令“windows.filescan | grep flag” 快速检索文件
1
| py vol.py -f mem.raw windows.filescan
|
导出文件
将0x3e4b2070文件保存到当前文件夹下
1
| py vol.py -f mem.raw windows.dumpfile --physaddr=0x3e4b2070
|
volatility 2
