windows下内存镜像获取

dumpit工具 http://www.moonsols.com/wp-content/uploads/downloads/2011/07/DumpIt.zip
直接点击运行exe程序,得到7.raw文件

kali下用volatility进行分析

1
volatility -f 7.raw imageinfo #查看文件相关信息
1
2
3
4
5
volatility -f 7.raw --profile-Win7SP1x64 pslist #查看进程信息,pstree 进程树
volatility -f 7.raw --profile-Win7SP1x64 memdump -p 1456 -D test # dump进程内存 导出到test目录下,1456进程号
hexedit 1456.dmp #查看十六进制内容
string 1456.dmp | more #翻页查看字符串内容
string 1456.dmp > 1111.txt #提取字符串 grep password 或 @
1
volatility cmdscan -f 7.raw --profile=WinXPSP3x86 #命令行历史
1
2
volatility netscan -f 7.raw --profile=WinXPSP3x86 #网络连接
volatility connscan -f 7.raw --profile=WinXPSP3x86 #只看已建立的连接
1
volatility iehistory -f 7.raw --profile=WinXPSP3x86 #ie浏览器历史记录
1
2
volatility hivelist -f 7.raw --profile=WinXPSP3x86 #数据库文件
volatility -f 7.raw --profile=WinXPSP3x86 hashdump -y system -s SAM #提取hash值,system和SAM为对应的虚内存地址
1
volatility -f 7.raw --profile=WinXPSP3x86 hivedump -o 0xe124f8a8 #按虚内存地址查看注册表内容
1
volatility -f 7.raw --profile=WinXPSP3x86 printkey -K "SAM\Domains\Account\Users\Name" #用户账号
1
volatility -f 7.raw --profile=WinXPSP3x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" #最后登录的用户
1
volatility -f 7.raw --profile=WinXPSP3x86 userassist #正在运行的程序、运行过多少次、最后一次运行时间等

其他有用的一些volatility插件

firefoxhistory 需要自行下载,然后拷贝到/usr/lib/python2.7/dist-packages/volatility/plugins/

usnparser 也需要下载

1
volatility -f 7.raw --profile=WinXPSP3x86 usnparser --output=csv --output-file=usn.csv

timeliner插件

1
volatility -f 7.raw --profile=WinXPSP3x86 timeliner #从多个位置收集大量系统活动信息

进程树

1
volatility -f 7.raw --profile=WinXPSP3x86 pstree #进程树

具体进程

1
volatility -f 7.raw --profile=WinXPSP3x86 getsids -p 进程数 #具体某个进程查看

调用库文件数量

1
volatility -f 7.raw --profile=WinXPSP3x86 dlllist #库文件数量

检查结果查毒

1
volatility -f 7.raw --profile=WinXPSP3x86 malfind -p 111,222 -D test # -D 为导出,-p后带进程号


扩展:从内存还原文字

微软的一款dump工具 procdump

1
procdump -ma notepad.exe notepad.dmp # 参数m代表内存 a是all

strings工具

1
strings notepad.dmp > notepad.txt

先procdump dump下来,strings查看

扩展:从内存还原图片

1
procdump -ma mspaint.exe mspaint.dmp # 把画板程序dump出来

把后缀名改成.data

1
mv mspaint.dmp mspaint.data

在gimp中打开mspaint.data,通过不断调节各项参数进行图片显示

从内存中提取明文密码

1
procdump -ma lsass.exe lsass.dmp #dump下来先

  • 神器 Mimikatz
    kali下路径usr/share/mimikatz ,可将对应子目录拷贝到win下使用
    sekurlsa::minidump lsass.dmp
    sekurlsa::logonPasswords

  • volatility 的 mimikatz插件
    http://github.com/sans-dfir/sift-files/blob/master/volatilitymimikatz.py
    拷贝进 /usr/lib/python2.7/dist-packages/volatility/plugins

  • firefox浏览器审计工具
    dumpzilla /root/.mozilla/firefox/bvpenhsu.default/ –All

死取证

kali livecd下图形化制作镜像工具guymager

  • 选择主机硬盘盘符
  • 点击右键选Acquire image制作镜像

取证工具DFF (digital forensics framework) #某些kali版本不存在

  • dff-gui 图形界面

其他一些取证软件

  • Autopsy
  • Extundelete 适用于ext3 ext4文件系统的反删除工具
    Extundelete [device-file] –restore-file [restore location]
  • iphone Backup Analyzer
  • Foremost
    从内存dump中恢复文档图片,支持raw\dd\iso\vmem等格式
    foremost -t jpeg,gif,png,doc -i 7.raw (提取文件保存在当前目录的output目录下)