[译]使用Volatility从memory dump获得密码 -

[译]使用Volatility从memory dump获得密码

博客分类：

windows
password

原文地址：https://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/

1. 从memory dump 获得一些信息

volatility imageinfo -f memorydumpfilename.raw

现在我们知道该memory dump的profile类型是Win7SP1x86
2. 接下来我们获得注册表的位置
volatility hivelist -f memdumpfilename.raw –profile=Win7SP1x86(使用两个-，因为由于某些原因，他们显示为一个-)

3. 从内存中获得密码hash
我们需要知道system和sam key的起始位置，查找上图，copy SYSTEM和SAM位置的第一列，把输出保存到hashs.txt文件中

volatility hashdump -f memdumpfilename.raw –profile=Win7SP1x86 -y 0x87c1a248 -s 0x8bfaa008 > hashs.txt  (double dashes in front of profile)

得到结果：

查看图片附件

分享到：

[译]Windows提权：ahcache.sys/NtApphelpC ... | man crunch

2014-12-30 12:27
浏览 3737
评论(0)
分类:互联网
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

[译]使用Volatility从memory dump获得密码

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

[译]使用Volatility从memory dump获得密码

评论

发表评论

相关推荐

[图] windows 10

windows提权集合

[转]Access to every PC and become local Admin

[转]Top Five Ways SpiderLabs Got Domain Admin on Your Internal Network

[转]如何获得window管理员权限

Window提权基本步骤

[转]malware persistence

[转]backdoor a windows domain

[译]解密MSSQL密码

[转]badsamba

[译]使用wireshark解密TLS浏览器流量

[转]John the ripper hash format cheetsheet

window增加硬盘性能方法

[译]Skeleton Key Malware & Mimikatz

绕过PowerShell执行策略的15种方法

[翻译]oledump: Extracting Embedded EXE From DOC

[工具]volatility----Windows内存取证

[译]Windows提权：ahcache.sys/NtApphelpCacheControl

man crunch

password

最近访客更多访客>>