zoukankan      html  css  js  c++  java
  • 电子取证-活取证2

    启动一个文本文件
    tasklist
    查看进程列表
    可以看到notepad.exe正在后台运行
    procdump -ma notepad.exe notepad.dmp
    -m memory
    -a all
    意思就是将和notepad.exe程序有关的所有内存dump下来保存为.dmp文件
    当前目录下生成一个notepad.dmp文件
    将dump文件中的字符串重定向到notepad.txt文件中
    strings notepad.dmp > notepad.txt
    通过Ctrl+f 快速搜索,可以找到我们刚刚执行的命令
    然后我们使用截图工具截一张cmd窗口的图片,并且使用画图工具打开,这个时候生成一个mspaint
    .exe进程。
    这个时候我们重新dump关于mspaint.exe程序的相关内存镜像
    procdump.exe -ma mspaint.exe mspaint.dmp
    然后再mstsc打开远程桌面,重新dump内存
    将dump下来的mspaint.dmp和mstsc.dmp拷贝到kali或者parrot中,我这里使用的parrot。
    然后我们使用linux下的gimp尝试将内存中的图像还原
    由于gimp不能直接打开dmp文件,我们首先需要将.dmp改为.data,然后就可以使用gimp打开了
    cp mspaint.dmp mspaint.data
    cp mstsc.dmp mstsc.data
    设置分辨率,调整offset偏移量进行图像还原
    密码读取工具mimikatz存放位置
    cd /usr/share/mimikatz/
    进程lsass.exe中存在密码信息,使用mimikatz读取lsass.dmp,从内存中获取windows明文密码
    – procdump -ma lsass.exe lsass.dmp
    – Mimikatz
    – sekurlsa::minidump lsass.dmp
    – sekurlsa::logonPasswords
    使用volatlity的mimikatz插件
    https://github.com/sans-dfir/sift-files/blob/master/volatility/mimikatz.py
    cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/
    dumpzilla火狐浏览器审计
    dumpzilla /root/.mozilla/firefox/ –All 按2次tab查看当前用户默认的firefox主目录
    从内存中读取图片
    foremost -t jpeg,gif,png,doc -i 2008.raw
  • 相关阅读:
    spring3.1, hibernate4.1 配置备份,struts2.2.1,sitemesh 2.4.2
    java 动态AOP
    制作可以执行的 JAR 文件包及 jar 命令详解
    struts result Annotation 参考
    Android线段与矩形碰撞检测函数
    防止aspxspy木马列服务 iis信息 执行命令提权等操作
    博客园申请及页面定制CSS
    C# 中将月份格式化为英语缩写格式
    通过Web Service获取天气预报并朗读
    windows下html/javascript调用可执行程序
  • 原文地址:https://www.cnblogs.com/micr067/p/12519796.html
Copyright © 2011-2022 走看看