内存取证(仅个人思路)

volatility -f test2.raw imageinfo

获取镜像详细信息 profile参数很重要 

volatility -f test2.raw --profile=Win7SP1x64 hashdump

获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解

如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码

还有一种是 lsadump 能出来断断续续的密码 不是完整的

volatility -f test2.raw --profile=Win7SP1x64 netscan 查看网络连接情况

会出来很多信息 这里ip根据开放的端口我们判断是10.30.21.96 去虚拟机中检测 也确是如此

volatility -f test2.raw --profile=Win7SP1x64 envars | grep USERNAME

即可查看主机名，注意要去掉后面的 $ 符号

获取flag文件思路：

1. 获取桌面文件名称，猜解其内容

volatility -f test2.raw --profile=Win7SP1x64 filescan | grep Desktop

2. 可能是桌面打开了一个notepad程序 使用notepad参数可以看到

volatility -f test2.raw --profile=Win7SP1x64 notepad

挖矿进程思路：

1. 先找名字异常的进程 比如Explore.exe 原系统进程是 explorer.exe

2. 在上一种方式魏国的情况下监察系统进程的启动时间 从启动时间判断

3. 反正只要求提交端口和ip，找外部ip一个一个试

volatility -f test2.raw --profile=Win7SP1x64 netscan/connscan

volatility -f test2.raw --profile=Win7SP1x64 svcscan

volatility -f test2.raw --profile=Win7SP1x64 hivelist

获取浏览器历史记录

volatility -f test2.raw iehistory

会给一个url 从里面的参数可以看到搜索了什么