博客也是鸽了一个月了,这期间打了一个CISCN分区赛,不得不说今年的分区赛真的严格:双机位拍摄+全程录屏。我们团队:菜菜捞捞队最后是得了华中赛区的三等奖,下次继续努力!

总结一下如何使用volatility加载RAW格式的内存镜像文件

首先使用-f+RAW镜像文件 来加载镜像文件
之后首先要使用imageinfo命令来扫描镜像信息


之后下面的操作都需要加参数 -profile=系统版本来进行下面的操作
比如这个镜像中的系统版本为WinXPSP2x86

  • WinXP当然说的就是Windows XP
  • SP2指的是service pack,可以理解为补丁包,不过也就XP有SP2、SP3,Win7只有SP1 Win10就都用22H2这种来表示修订了
  • x86指的就是32位、当然x64就是64位其他操作具体参数:
  • pslist 查看镜像中的进程
  • memdump -p (pid) -D (路径) 导出程序时的内存,可使用strings命令去查找
  • filescan 扫描文件,当然也可配合 | grep 管道符和匹配命令去筛选文件
  • cmdscan 查看历史cmd命令,当进程中看到cmd.exe就可以去看一下执行过什么命令
  • notepad 导出正在运行的记事本内的文本一切其他的感悟

特别是这次的取证题目,让我发现做这类题目一定要对Windows系统比较熟悉,比如说用户目录在哪、桌面在哪,这些都是一定要会的,浅浅的总结一下

都是自己总结的,如有错误,敬请指正

Windows的常见目录:

小TIPS:Linux和浏览器下目录是/,Windows下目录是反斜杠\
  • C:\Users 用户目录(XP的目录是C:\Document and Setting)
  • 用户目录\用户名\Desktop 桌面目录(封装过的系统多为默认超管用户Administrator)
  • C:\Program File 程序安装目录(64位的系统还有一个Program File(X86),是32位程序的目录)
  • C:\Program Data 全局的软件数据目录,默认文件夹属性为隐藏
  • 用户目录\AppData 用户的软件数据目录,默认文件夹属性为隐藏

Windows的常见程序:

Windows目录和System32目录默认已加入系统环境变量中,运行可直接调用

  • C:\Windows\Explorer.exe 资源管理器
  • C:\Windows\Regedit.exe 注册表
  • C:\Windows\System32\calc.exe 弹计算器
  • C:\Windows\System32\gpedit.msc 组策略
  • C:\Windows\System32\mmc.exe 管理控制台根节点

Windows开机的过程大家大概应该都熟悉,就是先有BIOS到引导程序到Windows系统
像硬盘逻辑锁病毒或是勒索病毒就是去破坏掉系统的引导分区从而导致系统无法引导

首先UEFI

UEFI,Unified Extensible Firmware Interface,统一可扩展固件接口,说到UEFI引导、Legacy引导这些,之前装过机的铁子应该都熟悉了,我这里就简单谈谈吧。

我上小学的时候用的还是XP系统的电脑,当时都是BIOS引导、也叫传统方式引导,原理就是开机时BIOS会搜索各个分区下的boot文件夹,然后boot文件夹中会有一个BCD文件,里面存放着引导文件,这种引导方式在Win7和XP上多见,但Win11开始就不支持传统方式引导了,必须使用UEFI引导并且开启安全启动



BIOS引导是汇编程序,16位实模式下运行,先有BIOS进行POST自检然后启动,但是可访问的内存只有1MB,而UEFI引导则是预先加载环境(C程序),所以可以突破实模式限制,同时要求也更多,只能引导64位系统、磁盘模式必须是GPT等等,但UEFI引导的优势也是很明显:可以实现快速开机、支持4G以上的运行内存、BIOS界面友好等新功能

小TIPS:Win8以上系统在UEFI引导下会自动搜索BIOS中的主板LOGO替换微软的四色旗LOGO,所以大家的笔记本开机都会显示自己的品牌LOGO而不是微软的四色旗,上面是原版的Win10启动画面


UEFI引导模式原理是,硬盘下有一个FAT32格式的ESP分区,BIOS程序会去ESP分区下搜索.efi格式的预加载程序,然后去加载系统,顺口提一嘴,黑苹果的EFI就是去ESP分区替换,而具体的启动菜单位置还是ESP分区\Microsoft\Boot\BCD

最后使用BOOTICE这个软件可以编辑UEFI/BIOS启动模式下的启动文件

届ける言葉を今は育ててる
最后更新于 2023-01-09