- 浏览: 278079 次
文章分类
- 全部博客 (276)
- burp+hydra暴力破解 (1)
- kali linux工具集 (6)
- kali (59)
- linux (54)
- password (14)
- web (63)
- 渗透测试 (50)
- windows (40)
- metasploit (9)
- 信息收集 (32)
- burp suit (4)
- 安全审计 (9)
- https://github.com/secretsquirrel/the-backdoor-factory (0)
- nmap (4)
- arachni (2)
- 工具 (5)
- sql (3)
- 网络 (2)
- 后渗透测试 (10)
- 内网 (5)
- 无线 (2)
- C (3)
- bios (1)
- RoR (12)
- mongodb (1)
- linxu (1)
- gdb (1)
- linux,虚拟化 (1)
- python (4)
最新评论
原文地址:https://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/
1. 从memory dump 获得一些信息
现在我们知道该memory dump的profile类型是Win7SP1x86
2. 接下来我们获得注册表的位置
volatility hivelist -f memdumpfilename.raw –profile=Win7SP1x86(使用两个-,因为由于某些原因,他们显示为一个-)
3. 从内存中获得密码hash
我们需要知道system和sam key的起始位置,查找上图,copy SYSTEM和SAM位置的第一列,把输出保存到hashs.txt文件中
得到结果:
1. 从memory dump 获得一些信息
volatility imageinfo -f memorydumpfilename.raw
现在我们知道该memory dump的profile类型是Win7SP1x86
2. 接下来我们获得注册表的位置
volatility hivelist -f memdumpfilename.raw –profile=Win7SP1x86(使用两个-,因为由于某些原因,他们显示为一个-)
3. 从内存中获得密码hash
我们需要知道system和sam key的起始位置,查找上图,copy SYSTEM和SAM位置的第一列,把输出保存到hashs.txt文件中
volatility hashdump -f memdumpfilename.raw –profile=Win7SP1x86 -y 0x87c1a248 -s 0x8bfaa008 > hashs.txt (double dashes in front of profile)
得到结果:
发表评论
-
[图] windows 10
2015-08-18 20:37 283网上下载的图片,忘了来源 -
windows提权集合
2015-06-30 00:23 539https://blog.netspi.com/5-ways- ... -
[转]Access to every PC and become local Admin
2015-06-29 21:50 508原文地址:http://www.gosecure.it/blo ... -
[转]Top Five Ways SpiderLabs Got Domain Admin on Your Internal Network
2015-06-29 21:46 1467原文地址:https://www.trustwave.com/ ... -
[转]如何获得window管理员权限
2015-06-29 21:21 445引用A tutorial on how to get into ... -
Window提权基本步骤
2015-06-03 22:00 752原文地址: http://www.fuzzysecurity. ... -
[转]malware persistence
2015-05-06 23:46 382原文地址:http://jumpespjump.blogspo ... -
[转]backdoor a windows domain
2015-05-06 22:56 473原文地址:http://jumpespjump.blogspo ... -
[译]解密MSSQL密码
2015-03-26 00:43 2820原文地址: https://blog.ne ... -
[转]badsamba
2015-03-20 00:55 299原文地址:http://blog.gdssecurity.co ... -
[译]使用wireshark解密TLS浏览器流量
2015-03-12 00:57 4027原文地址:https://jimshaver.net/2015 ... -
[转]John the ripper hash format cheetsheet
2015-03-10 01:30 943原文地址:http://pentestmonkey.net/c ... -
window增加硬盘性能方法
2015-02-05 01:03 337参考地址:http://way2h.blogspot.com/ ... -
[译]Skeleton Key Malware & Mimikatz
2015-01-28 20:29 769原文地址: http://adsecurity.org/?p= ... -
绕过PowerShell执行策略的15种方法
2015-01-28 02:27 844https://blog.netspi.com/15-ways ... -
[翻译]oledump: Extracting Embedded EXE From DOC
2015-01-04 22:40 914原文地址:http://blog.didierstevens. ... -
[工具]volatility----Windows内存取证
2015-01-04 22:01 1515下载地址:https://github.com/volatil ... -
[译]Windows提权:ahcache.sys/NtApphelpCacheControl
2015-01-03 21:12 1003原文地址:https://code.google.com/p/ ... -
man crunch
2014-12-28 23:35 372http://adaywithtape.blogspot.co ... -
password
2014-12-28 17:32 367wordlist: http://hashcrack.blog ...
相关推荐
Whether your memory dump is in raw format, a Microsoft crash dump, hibernation file, or virtual machine snapshot, Volatility is able to work with it. We also now support Linux memory dumps in raw or ...
win10_volatility-win10_compressed_memory (1).zip
volatility linux for dump mem
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility_2.4volatility_2.4volatility_2.4volatility_2.4volatility_2.4volatility_2.4
内存取证分析工具volatility windows版
treatise on stochastic volatility. Nor is it a mathematical nance textbook – there are treatises and textbooks galore on the shelves of bookshops and university libraries. Rather, my intention has ...
Volatility_Ratio 指标。
Linux volatility 扫描工具的使用
volatility指标显示N周期内价格移动的点数
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
journal of Volatility clustering,leverage,size,orcontagioneffects
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
volatility_2.6_mac64_standalone.zip mac 版本,内存取证工具。亲测好用
Volatility Ratio2 指标
Volatility Trading - Euan Sinclair
Volatility取证工具的使用详细说明,非常全面,有了它就可以一步步的实现对内存的取证啦。
在输入参数中带有时段选择选项的 Stochastic_Chaikins_Volatility 指标。
Volatility2Step 指标,当指标突破在输入参数中指定的触发水平时可以提供提醒,发送电子邮件和推送通知。