网站备案材料,金戈西地那非片,重庆平台网站建设多少钱,免费网站可以做cpa?vol2工具
命令格式#xff1a;vol.py -f [image] --profile[profile] [plugin]
1、查看系统的操作版本#xff0c;系统镜像信息 2.查看用户名密码信息#xff0c;当前操作系统中的password hash#xff0c;例如SAM文件内容 3.从注册表提取LSA密钥信息#xff08;已解密vol.py -f [image] --profile[profile] [plugin]
1、查看系统的操作版本系统镜像信息 2.查看用户名密码信息当前操作系统中的password hash例如SAM文件内容 3.从注册表提取LSA密钥信息已解密
这里没有有的镜像可疑从这里直接提取到密码flag等 4.列出系统进程但它不能检测到隐藏或者解链的进程 5.可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
命令没错只是镜像中没有这个隐藏的进程 6.以树的形式查看进程列表和pslist一样也无法检测到隐藏或解链的进程 7.提取进程-p是进程号-D存储的文件夹提取指定进程
这里是dump下来2096的进程 vol.py -f Target.mem --profileWin7SP0x64 memdump -p xxx --dump-dir./ //这个一样
8.查看服务里面有内存地址有服务名进程名 9.查看ie浏览器记录这里没有浏览器记录所以为空 10.查看网络连接排查挖矿进程恶意进程 11.查看历史命令记录 12.查看并过滤txt或者jpg的文件 13.提取文件 14.查看当前notepad的内容
vol.py -f Target.mem --profileWin7SP0x64 notepad 15.查看屏幕截图 16.查看注册表单元 17.导出注册表 18.获取注册表-K“键值” -o是索引值 19.查看运行程序相关记录 20.查看时间栈信息 21.查看剪切板信息
这里剪切板信息为空 22.恢复或被删除的文件 23.查看环境变量 24.程序版本信息
25.从内存文件中找到异常程序植入到系统的开机自启痕迹-恶意开机自启 26.使用mimikatz来查看系统密码这里缺少插件
27.看命令行参数看它是如何启动的 28.下载内存进程exe程序用来逆向分析也可直接运行 29.查看数据库元数据信息
这里是提示镜像中无信息 30.检测和分析windows系统中存在API钩子 36.查看转储原子表文件内容识别恶意窗口 37.发现潜在的恶意活动隐藏窗口或篡改窗口资源 38.查找可能被注入或隐藏的恶意代码看恶意进程和内存地址 39.进程虚拟地址空间的数据结构 40.如果如下则操作系统版本没错否则会报错并提示
