首页 » 网络安全 » 正文
网络安全

Kali 取证软件 Volatility 笔记 (DMP取证)

在折腾过程中,我发现自己需要用到volatility 的一款插件,叫做mimikatz,用于破解Windows的密码,我相信很多人Hacker都比较熟悉这个软件,在阅读了原理等信息之后,我发现有人已经写好了Plugin的使用脚本了,可以直接使用了

于是我打算记录一下安装和采坑的经验(虽然我还是没有解出来这个取证的Misc题,菜到抠脚)

Basic Command(基础操作)

1、获取基础信息

volatility --plugins='./volatility/plugins' -f MEMORY.DMP imageinfo

从上面选择一个Suggested Profiles作为 –profile的参数

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 -h

2、利用filescan和filedump获取文件

// 扫描文件

// 下载文件
volatility -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x00000000236eb5e0 -D ./ -u

3、查看进程

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 pslist

4、查看注册表

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 hivelist

5、打印注册表中的信息

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 hivedump -o 注册表的 Virtual 地址 

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 hivedump -o 0x95c839d0

6、查看SAM表中的用户

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 printkey -K "SAM\Domains\Account\Users\Names"

7、查看最后登录用户

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

可以看到我这儿最后登录用户是一个叫flag的用户

8、软件运行情况统计

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 userassist

然后我找到了2019年一些软件的运行情况分析

可以看到 2019-05-15 13:28:34的时候,flag用户竟然打开了这么多软件,是想干嘛,就不能弄简单点吗?

9、dump一个可执行文件(重建一个可执行文件)

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP0x86 procdump -D ./output -p 968

Plugins安装

经过一番搜索,我找到了Volatylity 的一个community插件社区,也就是一个Git 仓库,收集整理了一些常用插件,用git工具直接clone下来,以后可能用得上

git clone https://github.com/volatilityfoundation/community.git

然后,找到mimikatz.py 在 /FrancescoPicasso 这个目录下面,

// 创建plugins目录
mkdir -r volatility/plugins

// 移动mimikatz.py 到plugins目录
mv community/FrancescoPicasso/mimikatz.py volatility/plugins

其次运行plugins需要安装一下依赖

sudo -H pip install distorm3 pycrypto openpyxl Pillow

sudo apt-get install yara

PS:如果仍然报错yara有问题,可以尝试连接yara的so文件到系统

ln -s /usr/local/lib/python2.7/dist-packages/usr/lib/libyara.so /usr/lib/libyara.so

然后就可以检查plugins是否正常运行 

volatility --plugins='./volatility/plugins' --info | grep -i mimikatz

正常的输出应该类似这样,就说明安装基本无问题了

mimikatz_install_check

使用插件破解windows密码

volatility --plugins='./volatility/plugins' -f MEMORY.DMP --profile=Win7SP1x86_23418 mimikatz -v

我的DMP文件没办法直接拿到Password,I have no idea how this happened, so I find another file to test my plugin and finally I cracked out windows logon password from offline file.

All Done!

暂无评论

发表评论

您的电子邮件地址不会被公开,必填项已用*标注。

相关推荐

分享到: