vol2工具

命令格式：vol.py -f [image] --profile=[profile] [plugin]

1、查看系統(tǒng)的操作版本，系統(tǒng)鏡像信息

2.查看用戶名密碼信息，當(dāng)前操作系統(tǒng)中的password hash，例如SAM文件內(nèi)容

3.從注冊表提取LSA密鑰信息（已解密）

這里沒有，有的鏡像可疑從這里直接提取到密碼，flag等

4.列出系統(tǒng)進(jìn)程，但它不能檢測到隱藏或者解鏈的進(jìn)程

5.可以找到先前已終止(不活動)的進(jìn)程以及被rootkit隱藏或解鏈的進(jìn)程

命令沒錯，只是鏡像中沒有這個隱藏的進(jìn)程

6.以樹的形式查看進(jìn)程列表，和pslist一樣，也無法檢測到隱藏或解鏈的進(jìn)程

7.提取進(jìn)程，-p是進(jìn)程號，-D存儲的文件夾，提取指定進(jìn)程

這里是dump下來2096的進(jìn)程

vol.py -f Target.mem --profile=Win7SP0x64 memdump -p xxx --dump-dir=./? ?//這個一樣

8.查看服務(wù)，里面有內(nèi)存地址，有服務(wù)名（進(jìn)程名）

9.查看ie瀏覽器記錄，這里沒有瀏覽器記錄，所以為空

10.查看網(wǎng)絡(luò)連接，排查挖礦進(jìn)程，惡意進(jìn)程

11.查看歷史命令記錄

12.查看并過濾txt或者jpg的文件

13.提取文件

14.查看當(dāng)前notepad的內(nèi)容

vol.py -f Target.mem --profile=Win7SP0x64 notepad

15.查看屏幕截圖

16.查看注冊表單元

17.導(dǎo)出注冊表

18.獲取注冊表，-K“鍵值”?-o是索引值

19.查看運(yùn)行程序相關(guān)記錄

20.查看時間棧信息

21.查看剪切板信息

這里剪切板信息為空

22.恢復(fù)或被刪除的文件

23.查看環(huán)境變量

24.程序版本信息

25.從內(nèi)存文件中找到異常程序植入到系統(tǒng)的開機(jī)自啟痕跡-惡意開機(jī)自啟

26.使用mimikatz來查看系統(tǒng)密碼，這里缺少插件

27.看命令行參數(shù)看它是如何啟動的

28.下載內(nèi)存進(jìn)程exe程序，用來逆向分析，也可直接運(yùn)行

29.查看數(shù)據(jù)庫元數(shù)據(jù)信息

這里是提示鏡像中無信息

30.檢測和分析windows系統(tǒng)中存在API鉤子

36.查看轉(zhuǎn)儲原子表文件內(nèi)容，識別惡意窗口

37.發(fā)現(xiàn)潛在的惡意活動，隱藏窗口或篡改窗口資源

38.查找可能被注入或隱藏的惡意代碼，看惡意進(jìn)程和內(nèi)存地址

39.進(jìn)程虛擬地址空間的數(shù)據(jù)結(jié)構(gòu)

40.如果如下則操作系統(tǒng)版本沒錯，否則會報(bào)錯并提示