vol2安装方法

1.在kali中拉取项目

1
wget http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_lin64_standalone.zip

2.解压文件

1
unzip volatility_2.6_lin64_standalone.zip

3.赋予执行权限并重命名 为了方便使用,将其重命名为volatility并移动到/usr/bin目录下(或者直接在当前目录运行):

1
2
3
cd volatility_2.6_lin64_standalone
chmod +x volatility_2.6_lin64_standalone
sudo mv volatility_2.6_lin64_standalone /usr/bin/vol2

4.测试运行

1
vol2 -h

准备

1.imageinfo //检索内存信息

2.–profile 调用系统

做题

1.查看进程 //pslist

	hack运行了一个可疑进程,将进程名作为flag提交

2.查看用户密码 //lsadump

​ 当前用户密码是什么?作为flag提交

3.查看用户名及其密码(哈希加密状态) //hashdump

​ 当前用户密码是什么?作为flag提交

3.查看当前镜像中的用户 //printkey -K “SAM\Domains\Account\Users\Names”

​ 查看当前镜像中的可疑用户,将用户名作为flag提交

4.查看隐藏进程 //psscan

​ hack运行了一个可疑进程,将进程名作为flag提交

5.查看服务,查询服务名称 //svcscan

6.查看浏览器历史 //iehistroy

7.查看网络连接,或者是系统的ip //netscan

8.查看cmd历史操作 //cmdscan

9.查看进程命令行参数 //cmdline

!!!10.查看内存中的文件 //filescan

!!!11.下载内存中的文件 //dumpfiles

dumpfiles -Q 十六进制名称 -D ./ 下载内存文件到当前目录下

12.查看记事本内容 //notepad

13.查看编辑的历史纪录(编辑过的内容信息) //editbiox

!!!14.从内存中下载进程文件 //memdump

		memdump -p [pid] -D ./

14.下载内存中缓存的截图信息 //screenshot

!!!15.查看主机名称 //printkey -K

​ printkey -K “ControlSet001\Control\ComputerName\ComputerName”

​ 将主机名称作为flag提交

16.查看剪切板信息 //clipboard

17.查看系统环境变量 //envars

18.查看程序或者文件时间线的命令 //timeliner

python2 vol.py -f ‘/root/桌面/worldskills3.vmem’ –profile=Win7SP1x64 timeliner |grep “hack.exe”