电子取证-活取证2
启动一个文本文件
tasklist
查看进程列表
可以看到notepad.exe正在后台运行
procdump -ma notepad.exe notepad.dmp
-m memory
-a all
意思就是将和notepad.exe程序有关的所有内存dump下来保存为.dmp文件
当前目录下生成一个notepad.dmp文件
将dump文件中的字符串重定向到notepad.txt文件中
strings notepad.dmp > notepad.txt
通过Ctrl+f 快速搜索,可以找到我们刚刚执行的命令
然后我们使用截图工具截一张cmd窗口的图片,并且使用画图工具打开,这个时候生成一个mspaint
.exe进程。
这个时候我们重新dump关于mspaint.exe程序的相关内存镜像
procdump.exe -ma mspaint.exe mspaint.dmp
然后再mstsc打开远程桌面,重新dump内存
将dump下来的mspaint.dmp和mstsc.dmp拷贝到kali或者parrot中,我这里使用的parrot。
然后我们使用linux下的gimp尝试将内存中的图像还原
由于gimp不能直接打开dmp文件,我们首先需要将.dmp改为.data,然后就可以使用gimp打开了
cp mspaint.dmp mspaint.data
cp mstsc.dmp mstsc.data
设置分辨率,调整offset偏移量进行图像还原
密码读取工具mimikatz存放位置
cd /usr/share/mimikatz/
进程lsass.exe中存在密码信息,使用mimikatz读取lsass.dmp,从内存中获取windows明文密码
– procdump -ma lsass.exe lsass.dmp
– Mimikatz
– sekurlsa::minidump lsass.dmp
– sekurlsa::logonPasswords
使用volatlity的mimikatz插件
https://github.com/sans-dfir/sift-files/blob/master/volatility/mimikatz.py
cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/
dumpzilla火狐浏览器审计
dumpzilla /root/.mozilla/firefox/ –All 按2次tab查看当前用户默认的firefox主目录
从内存中读取图片
foremost -t jpeg,gif,png,doc -i 2008.raw