内存取证笔记

真题：2019年，2018年，2017年美亚杯
windows，linux
工具：volatility
步骤：
首先使用取证大师，目前支持到win10
如果无法解析，则使用volatility，前提是直到操作的版本。

获得操作方法：
方法一：一个一个试，耗时间。
方法二：使用kali 去获得版本，kali自带volatility插件

内存镜像后缀名：mem，vmem，dmp之类的。

步骤一：内存镜像架构

通过取证大师工具集里面的内存镜像解析工具。版本过高的话，可以用小程序里面的内存镜像解析工具专业版，导入脚本。

步骤二:volatility使用
1.判断未知内存镜像系统版本信息
volatility -f 文件路径(可以把文件拖进cmd里面） imageinfo

出来信息的时间非常重要（美亚杯喜欢考时间!!)
建议的操作系统文件也很重要，从第一个开始尝试,如果括号里面有sugest 什么，选括号里面的）

2.进程解析(pslist,pstree,psscan:列出转储时运行的进程的纤细信息，显示过程ID，父进程（PPID），线程数目，把手数目，日期时间。）

volatility -f 文件路径 --profile=系统架构（上一个命令解析出来的）pslist

pslist 无法显示隐藏/终止进程，解决这个问题可以使用psscan

volatility -f 文件路径 --profile=系统架构（上一个命令解析出来的）pstree

同样也是扫描进程的，但是是以进程树的形式出现的。

volatility -f 文件路径 --profile=系统架构（上一个命令解析出来的）psscan

如果文件过多，可以要导出进程
volatility -f 文件路径 --profile=系统架构（上一个命令解析出来的）pslist > 文本名（.txt)

PID，PPID，父进程，子进程，常考！！！！

3.用户名密码信息（提取出注册表的信息）
volatility -f 文件路径 --profile=系统结构 hashdump

mimikatz可以密码破解
hashcat可以hash值破解

美亚杯注册表，常考！！！

4.扫描并解析潜在的MPT条目
volatility -f 文件路径 --profile=框架 mftparser
5.可以查看访问记录
volatility -f 文件路径 --profile=系统结构 timeliner

6.查看注册表的配置单
volatility -f 文件路径 --profile=框架 hivelist

注册表里面的重要文件有，SOFTWARE,SYSTEM,dat等

7.导出注册表
dumpregister

WRR–注册表取证软件。

volatility Workbench

还是得知道文件的架构 ! ! !

usbsor里面是u盘的记录。

可以查看狼队写的一些有关volatility的命令。
https://wiki.wgpsec.org/knowledge/ctf/Volatility.html