电子取证-活取证2

启动一个文本文件

tasklist

查看进程列表

可以看到notepad.exe正在后台运行

procdump -ma notepad.exe notepad.dmp

-m memory

-a all

意思就是将和notepad.exe程序有关的所有内存dump下来保存为.dmp文件

当前目录下生成一个notepad.dmp文件

将dump文件中的字符串重定向到notepad.txt文件中

strings notepad.dmp > notepad.txt

通过Ctrl+f 快速搜索，可以找到我们刚刚执行的命令

然后我们使用截图工具截一张cmd窗口的图片，并且使用画图工具打开，这个时候生成一个mspaint

.exe进程。

这个时候我们重新dump关于mspaint.exe程序的相关内存镜像

procdump.exe -ma mspaint.exe mspaint.dmp

然后再mstsc打开远程桌面，重新dump内存

将dump下来的mspaint.dmp和mstsc.dmp拷贝到kali或者parrot中，我这里使用的parrot。

然后我们使用linux下的gimp尝试将内存中的图像还原

由于gimp不能直接打开dmp文件，我们首先需要将.dmp改为.data,然后就可以使用gimp打开了

cp mspaint.dmp mspaint.data

cp mstsc.dmp mstsc.data

设置分辨率，调整offset偏移量进行图像还原

密码读取工具mimikatz存放位置

cd /usr/share/mimikatz/

进程lsass.exe中存在密码信息，使用mimikatz读取lsass.dmp,从内存中获取windows明文密码

– procdump -ma lsass.exe lsass.dmp

– Mimikatz

– sekurlsa::minidump lsass.dmp

– sekurlsa::logonPasswords

使用volatlity的mimikatz插件

https://github.com/sans-dfir/sift-files/blob/master/volatility/mimikatz.py

cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/

dumpzilla火狐浏览器审计

dumpzilla /root/.mozilla/firefox/ –All 按2次tab查看当前用户默认的firefox主目录

从内存中读取图片

foremost -t jpeg,gif,png,doc -i 2008.raw