volatility命令格式

volatility  [plugin] -f [image] --profile=[profile]

常用:
imageinfo:显示目标镜像的摘要信息
filescan:扫描所有的文件列表
mendump:提取出指定进程
pslist:列举出系统进程
hashdump:查看当前操作系统中的密码 hash
cmdscan:历史命令
iehistory:获取系统浏览器历史

easy_dump---------内存取证解析_内存取证

volatility -f easy_dump.img imageinfo


 一般来说imageinfo一个最为准确,在这里是Win7SP1x64

volatility -f easy_dump.img --profile=Win7SP1x64 pslist


在其中找到进程号为2616

easy_dump---------内存取证解析_内存取证_02

 查看其记事本中内容

volatility -f easy_dump.img --profile=Win7SP1x64 --profile=Win7SP1x64 memdump -p 2616 -D /

easy_dump---------内存取证解析_内存取证_03

 用strings命令查找有关flag的字样

strings -e l 2616.dmp | grep flag


 根据提示jpg字样,开始对easy_dump搜索jpg

volatility -f easy_dump.img --profile=Win7SP1x64 filescan | grep 'jpg'

easy_dump---------内存取证解析_内存取证_04

 将该图片导出

volatility -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x000000002408c460  -D /

easy_dump---------内存取证解析_内存取证_05

得到图片后用foremost工具尝试分离

foremost -T file.None.0xfffffa8008355410.vacb

easy_dump---------内存取证解析_内存取证_06

 解压缩后得到一个message.img文件,使用binwalk继续分离会得到一个hint.txt文件

 binwalk -e message.img

easy_dump---------内存取证解析_内存取证_07

easy_dump---------内存取证解析_内存取证_08

 使用kali中gnuplot 工具,如果未下载,可使用apt-get命令安装

apt-get install gnuplot

使用命令gnuplot如下图:

plot "hint.txt"

easy_dump---------内存取证解析_内存取证_09

得到一张二维码图片

easy_dump---------内存取证解析_内存取证_10

 用QR生成识别进行扫描

easy_dump---------内存取证解析_内存取证_11

可以从这段话中得到两个信息,一个是维吉尼亚加密其秘钥是aeolus,一个是原加密文件已被删除了,需要恢复一下

使用命令testdisk恢复文件 (kali自带的软件呦)

testdisk message.img

easy_dump---------内存取证解析_内存取证_12

easy_dump---------内存取证解析_内存取证_13

easy_dump---------内存取证解析_内存取证_14

easy_dump---------内存取证解析_内存取证_15

按下小写‘c’键 然后选择导出后的路径

easy_dump---------内存取证解析_内存取证_16

 然后摁大写‘C’键,保存

保存成功后会出现此显示

easy_dump---------内存取证解析_内存取证_17

摁‘q’键退出即可

注:由于导出的是.开头的文件,所以是隐藏文件,当时差点没找崩了

ls -a

easy_dump---------内存取证解析_内存取证_18

用strings命令直接查看

easy_dump---------内存取证解析_内存取证_19

 找到一串加密的维吉尼亚密码,用上图的秘钥解密即可(秘钥:aeolus)

easy_dump---------内存取证解析_内存取证_20

 即可得到最终结果

yeet!just_find_and_solve