电子取证题（raw,dmp,vmem）volatility命令用法

volatility -f 镜像 参数 命令
示例：volatility -f XXX.raw --profile=Win7SP1x64 pslist

常用命令

imageinfo    #查看镜像系统信息 使用对应版本的镜像，后面的参数使用–profile(两根横杠) --profile=Win7SP1x64

pslist 		#看完镜像直接查看这个镜像上有那些进程正在运行 pslist应该比较好理解就是进程的列表的意思。
psxview		#可查看一些隐藏进程
pstree 		#以树的形式来列出正在进行的进程，不会显示出隐藏或未链接的进程

cmdscan		#查看镜像的历史命令，就是和linux中history差不多。
consoles	#这个会比上面那个更好一些，能看到指令的输入和输出。
cmdline		#此指令将会列出所有命令行下运行的程序
cmdscan		#提取内存中保留的 cmd 命令使用情况
dlllist		#显示每个进程的加载dll列表
netscan 	#获取到当时的网络连接情况
svcscan		#查看服务
modules 	#查看内核驱动
modscan/driverscan 		 #可查看一些隐藏的内核驱动
ShimCache				#来识别应用程序兼容性问题。跟踪文件路径，大小，最后修改时间和最后“执行”时间.

privs		#显示进程权限
envars		#显示环境变量

filescan	#查找文件，可搭配 grep | "xxx"   /  filescan | grep -E “png”

memdump -p [PID] -D 保存目录			#通过相应的进程能直接dump出相关的文件。
dumpfiles -Q [16进制位置] -D 保存目录	 #通过16进制位置dump出相关的文件。

editbox		#查看系统正在运行的编辑本
dumpregistry -D 保存目录  #导出系统的注册表
screenshot -D 保存目录	  #查看并导出屏幕的截屏【需要安装PIL库】
clipboard				#查看剪贴板数据，加一个-v可以导出相关的数据。
iehistory				#查看浏览器的历史记录

printkey -K "SAM\Domains\Account\Users\Names"	#查看用户名
printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"  #打印出最后登录的用户
hashdump				#获取各个账号的MD5加密密码
hivelist				#获取注册表单元配置列表
#找出获取system 的 virtual 地址，SAM 的 virtual 地址，然后在使用hashdump -y SYSTEM_virtual -x SAM_virtual.  （通过hivelist找出用户）

下载得到raw文件查看其信息

python2 vol.py -f ./1.raw imageinfo

查看执行的命令，有github文件上传

python2 vol.py -f ./1.raw --profile WinXPSP2x86 cmdscan

查找指定文件

python2 vol.py -f ./1.raw --profile WinXPSP2x86 filescan|grep -E "txt|jpg|png"

下载ssh.txt

python2 vol.py -f ./1.raw --profile WinXPSP2x86 dumpfiles -Q 0x00000000020bf6a0 -D ./

base64解密后发现qq邮箱

github查找得到

下载whatsthat得到

base64解密后得到flag

SangFor{S0_3azy_2_crack_noob_player}