一、练习基本命令使用

1、获取镜像信息

./volatility -f Challenge.raw imageinfo

一般取第一个就可以了

2、查看用户

./volatility -f Challenge.raw --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names"

3、获取主机名

./volatility -f Challenge.raw --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

4、查看浏览器的浏览记录

volatility.exe -f Challenge.raw --profile=Win7SP1x64 iehistory

最前面是 volatility 的文件名，加不加后缀看文件名的情况，这里我用的是 window 下的 volatility，后面命令一样的，只不过 kali 中的 volatility 问题比较多

5、查看网络连接情况

./volatility -f Challenge.raw --profile=Win7SP1x64 netscan

6、查看用户密码

volatility.exe -f Challenge.raw --profile=Win7SP1x64 hashdump

7、查看 LSA 密钥信息

volatility.exe -f Challenge.raw --profile=Win7SP1x64 lsadump

8、查看服务信息

volatility.exe -f Challenge.raw --profile=Win7SP1x64 svcscan

9、查看进程

volatility.exe -f Challenge.raw --profile=Win7SP1x64 pslist

10、查看进程树

volatility.exe -f Challenge.raw --profile=Win7SP1x64 pstree

11.显示隐藏或终止的进程

volatility.exe -f Challenge.raw --profile=Win7SP1x64 psscan

12、查找带有隐藏进程的所有进程列表

volatility.exe -f Challenge.raw --profile=Win7SP1x64 psxview

13、查看 cmd 历史命令

volatility.exe -f Challenge.raw --profile=Win7SP1x64 cmdscan

14、查看文件

volatility.exe -f Challenge.raw --profile=Win7SP1x64 filescan

扫描所有的文件列表，在 kali 中可以配合 grep 命令来使用，过滤出目标文件

15、查看文件内容

volatility.exe -f Challenge.raw --profile=Win7SP1x64 dumpfiles -Q 0xxxx -D 路径

导出内存中缓存的文件

16、查看某软件版本信息

volatility.exe -f Challenge.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000011ff1a070 -D D:\

把后缀改成 .exe 右键属性即可查看版本信息

17、提取进程

memdump

volatility.exe -f Challenge.raw --profile=Win7SP1x64 memdump -p 2012 -D D:\

18、将进程转储到可执行文件

procdump

./volatility -f Challenge.raw --profile=Win7SP1x64 procdump -p 2012 -D /home/kali/

【procdump 和 memdump 的区别：procdump 是提取进程的可执行文件、memdump 是提取进程在内存中的信息】

19、查看桌面上的软件

volatility.exe -f Challenge.raw --profile=Win7SP1x64 filescan | findstr "Desktop"

window 使用 findstr ；kali 使用 grep

20、获取邮箱号

方法一：iehistory

volatility.exe -f Challenge.raw --profile=Win7SP1x64 iehistory

方法二：screenshot

volatility.exe -f Challenge.raw --profile=Win7SP1x64 screenshot -D 路径

这条命令把图片保存在指定路径中，去图片中找邮箱

21、从内存中的注册表信息获取机器关机时间

volatility.exe -f Challenge.raw --profile=Win7SP1x64 shutdowntime

22、显示进程的环境变量

例题：已知某某从浏览器中下载了一个压缩文件，文件相关信息写入到环境中，请找出文件的内容

后面的 333.txt 是自定义文件名，如果不存在会自己创建，打开后就可以在里面找相关内容了，像题目说的那样，是个压缩包，那就过滤后缀为 rar、zip 的数据（注意要大小写不敏感）

23、创建内存中的各种痕迹信息的时间线

 ./volatility -f Challenge.raw --profile=Win7SP1x64 timeliner | grep "conhost.exe"

题目：找出某应用的最后一次运行时间

这里需要注意，扫出来之后很多是配置文件的运行时间，这里要找到可执行程序的信息（exe）

24、打印 UserAssist 注册表项和信息

 ./volatility -f Challenge.raw --profile=Win7SP1x64 userassist

查看运行程序相关的记录，比如最后一次更新时间，运行过的次数等

25、查看剪切板

./volatility -f OtterCTF.vmem --profile=Win7SP1x64 clipboard

clipboard

26、查看进程命令行参数

cmdline

二、例题训练及解析

1、【例题取自靶场：OtterCTF】

注意：只挑出一些有针对性的题目

查看镜像版本信息

Win7SP1x64

第一题【3 - Play Time】：瑞克只是喜欢玩一些好玩的老电子游戏。你能分辨出他在玩什么游戏吗？服务器的 IP 地址是什么？

./volatility -f OtterCTF.vmem --profile=Win7SP1x64 netscan

不清楚的可以去百度查一下该名字就好了

由第一张图所示，游戏程序对应的 IP 为 77.102.199.102

最终答案：

CTF{LunarMS}

CTF{77.102.199.102}

第二题【2 - General Info】：让我们从简单的开始 - PC 的名称和 IP 地址是什么？

./volatility -f OtterCTF.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

CTF{WIN-LO6FAF3DTFE}

看 IP 直接用 netscan 看，找那些出现个数最多的，成片出现的大概率就是了

CTF{192.168.202.131}

最终答案：

CTF{192.168.202.131}

CTF{WIN-LO6FAF3DTFE}

第三题【1 - What the password?】：你得到了 Rick 的 PC 内存样本。你能得到他的用户密码吗？

直接使用 hashdump 看，下图红框内就是密码对应的 MD5 值，不过撞库撞不出来，那就说明考察点不再这里

使用 lsadump 来查看，猜测下图红框内应该是密码，整理一下得到：MortyIsReallyAnOtter

最终答案：

CTF{MortyIsReallyAnOtter}

第四题【4 - Name Game】：我们知道该帐户已登录到一个名为 Lunar-3 的频道。帐户名称是什么？

【登录到名为 Lunar-3 的频道指的是游戏内的频道，所以需要提取游戏程序的信息】

使用 pslist 找到游戏进程 PID

使用 memdump 提取文件信息

把文件丢到 Window 中，使用 HxD 分析，当然也可以右键打开记事本来分析，载入后 CTRL + F 搜索 Lunar-3 快速定位，然后就在 Lunar-3 周围的英文单词一个一个试

试了两个就找到了，Ott3r8r33z3 就是了

最终答案：

CTF{0tt3r8r33z3}

第五题【6 - Silly Rick】：Silly rick 总是忘记他的电子邮件密码，所以他使用在线存储的密码服务来存储他的密码。他总是复制并粘贴密码，这样他就不会弄错。Rick 的电子邮件密码是什么？

题目提示的很明显，复制粘贴密码，所以我们直接看剪切板

最终答案：

CTF{M@il_Pr0vid0rs}

第六题【7 - Hide And Seek】：我们采取 rick 的 PC 内存转储的原因是存在恶意软件感染。请找到恶意软件进程名称（包括扩展名）

查看可以进程的命令行参数

往下翻找，发现 Rick And Morty 下载了东西，且 vmware-tray.exe 存在临时文件夹 Temp 下，该文件夹是比较敏感的，一般看到有程序存在该文件夹下就要特别注意了

所以我们猜测 vmware-tray.exe 是恶意程序，提交发现答案也确实是这个

第七题【11 - Graphic's For The Weak】：恶意软件的图形中有一些可疑的东西。

这题不能只用 volatility，需要配合 foremost （做过 CTF 杂项题的同学对该工具应该很熟悉）分离恶意软件中的图片。

首先，将恶意软件提取出来，使用 procdump 转存成 exe 文件

PID ：3720

使用 kali 自带工具 binwalk 查看是否有东西，发现确实包含图片在里面

接下来就可以使用 foremost 来分离了，foremost 分离完的文件会存放在 output 文件夹下

最终答案：

CTF{S0_Just_M0v3_Socy}

第八题【9 - Path To Glory 2】：继续搜索恶意软件进入的方式。

前面我们分析出恶意软件是  Rick And Morty 下载的，所以我们先将所有的 chrome 进程转储下来

自己创建个文件夹，把导出的文件放进去，使用 strings 命令查找相关信息

往下翻找

最终答案：

CTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@inYear}

这一小题出的并不好，我把他放出来的目的是他的思路可以用在比赛中。

2、【例题取自信息安全比赛赛前训练题】

【第一题：找出机器上安装的系统版本】

volatility.exe -f C220.vmem imageinfo

Win7SP1x64

【第二题：找出攻击者的 IP 地址和目标计算机上的本地端口】

volatility -f C220.vmem --profile=Win7SP1x64 netscan

54.36.109.161

2222

【第三题：找出攻击者执行的第一个命令】

volatility -f C220.vmem --profile=Win7SP1x64 cmdline

"C:\Windows\sysnative\svchost.exe"

【第四题：获取 admin 用户密码】

volatility -f C220.vmem --profile=Win7SP1x64 lsadump

flag{406990ff88f13dac3c9debbc0769588c}

【第五题：获取 IP 和主机名】

通过第四题可以得到本机 IP

192.168.85.129

volatility -f C220.vmem --profile=Win7SP1x64 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

WIN-9FBAEH4UV8C

【第六题：获取当前系统浏览器搜索过的关键词】

volatility -f C220.vmem --profile=Win7SP1x64 iehistory

admin@file:///C:/Users/admin/Desktop/flag.txt

【第七题：获取桌面上的 flag.txt 文件的内容】

volatility -f C220.vmem --profile=Win7SP1x64 filescan | findstr "Desktop"

找到文件，接下里使用插件把文件 dump 下来

volatility -f C220.vmem --profile=Win7SP1x64 dumpfiles -Q  0x000000007f1b6c10 -D D:/

用记事本打开

flag{180d163ca48c793cb0db74fb96d6a882}

【第八题：服务器存在一个挖矿病毒，矿池地址是多少】

54.36.109.161

【第九题：恶意代码在系统中注册了服务，服务名是什么】

由第八题我们确定了病毒程序的端口为 2588，接下来使用 pslist 找到该进程的 PPID

volatility -f C220.vmem --profile=Win7SP1x64 pslist

volatility -f C220.vmem --profile=Win7SP1x64 svcscan

VMnetDHCP

三、比赛例题解题思路

1、找出某恶意程序注册的服务器名称

        ①、通过 netscan 找到可疑的连接，并记录下对应的进程 PID

        ②、通过 volatility -f [镜像名称] --profile=[版本] pslist -p PID 找到对应的 PPID（父进程）

        ③、通过 volatility -f [镜像名称] --profile=[版本] svcscan 中找到 process ID 为 PPID 的即可