volatility2工具的使用vol2工具篇
vol2工具
命令格式:vol.py -f [image] --profile=[profile] [plugin]
1、查看系统的操作版本,系统镜像信息
2.查看用户名密码信息,当前操作系统中的password hash,例如SAM文件内容
3.从注册表提取LSA密钥信息(已解密)
这里没有,有的镜像可疑从这里直接提取到密码,flag等
4.列出系统进程,但它不能检测到隐藏或者解链的进程
5.可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程
命令没错,只是镜像中没有这个隐藏的进程
6.以树的形式查看进程列表,和pslist一样,也无法检测到隐藏或解链的进程
7.提取进程,-p是进程号,-D存储的文件夹,提取指定进程
这里是dump下来2096的进程
vol.py -f Target.mem --profile=Win7SP0x64 memdump -p xxx --dump-dir=./ //这个一样
8.查看服务,里面有内存地址,有服务名(进程名)
9.查看ie浏览器记录,这里没有浏览器记录,所以为空
10.查看网络连接,排查挖矿进程,恶意进程
11.查看历史命令记录
12.查看并过滤txt或者jpg的文件
13.提取文件
14.查看当前notepad的内容
vol.py -f Target.mem --profile=Win7SP0x64 notepad
15.查看屏幕截图
16.查看注册表单元
17.导出注册表
18.获取注册表,-K“键值” -o是索引值
19.查看运行程序相关记录
20.查看时间栈信息
21.查看剪切板信息
这里剪切板信息为空
22.恢复或被删除的文件
23.查看环境变量
24.程序版本信息
25.从内存文件中找到异常程序植入到系统的开机自启痕迹-恶意开机自启
26.使用mimikatz来查看系统密码,这里缺少插件
27.看命令行参数看它是如何启动的
28.下载内存进程exe程序,用来逆向分析,也可直接运行
29.查看数据库元数据信息
这里是提示镜像中无信息
30.检测和分析windows系统中存在API钩子
36.查看转储原子表文件内容,识别恶意窗口
37.发现潜在的恶意活动,隐藏窗口或篡改窗口资源
38.查找可能被注入或隐藏的恶意代码,看恶意进程和内存地址
39.进程虚拟地址空间的数据结构
40.如果如下则操作系统版本没错,否则会报错并提示
相关文章:
volatility2工具的使用vol2工具篇
vol2工具 命令格式:vol.py -f [image] --profile[profile] [plugin] 1、查看系统的操作版本,系统镜像信息 2.查看用户名密码信息,当前操作系统中的password hash,例如SAM文件内容 3.从注册表提取LSA密钥信息(已解密&…...
R 基础运算
R 基础运算 R 是一种广泛使用的统计编程语言,它提供了强大的数据操作和分析功能。基础运算在 R 中非常重要,因为它们是进行更复杂计算和数据分析的基础。本文将详细介绍 R 中的基础运算,包括算术运算、逻辑运算、向量化和矩阵运算。 一、算…...
javaScriptBOM
1.1、BOM概述 1.1.1、BOM简介 BOM(browser Object)即浏览器对象模型,它提供了独立于内容而与浏览器窗口进行交互的对象,其核心对象是window。 BOM由一系列的对象构成,并且每个对象都提供了很多方法与属性 BOM缺乏标准…...
Godot RPG 游戏开发指南
Godot RPG 游戏开发指南 一、基础准备 1. 开发环境 下载并安装最新版 Godot 4.x选择使用 GDScript 或 C# 作为开发语言准备基础美术资源(角色、地图、道具等) 2. 项目结构 project/ ├── scenes/ # 场景文件 ├── scripts/ # 脚…...
目标检测数据集图片及标签同步旋转角度
前言 在深度学习领域,尤其是目标检测任务中,数据集的质量直接影响模型的性能。为了提升模型的鲁棒性和对各种场景的适应能力,数据增强技术被广泛应用于图像数据集处理。旋转角度是常见的数据增强方法,通过对图像及其对应的标签&am…...
2025前端面试热门题目——计算机网络篇
计算机网络篇——面试 1. 到底什么是 TCP 连接? TCP 连接的定义 TCP(传输控制协议)是一个面向连接的传输层协议。TCP 连接是通过 三次握手 确立的可靠数据通信链路,保证了在不可靠网络(如互联网)上的数据传输的准确…...
LEAST-TO-MOST PROMPTING ENABLES COMPLEX REASONING IN LARGE LANGUAGE MODELS---正文
题目 最少到最多的提示使大型语言模型能够进行复杂的推理 论文地址:https://arxiv.org/abs/2205.10625 摘要 思路链提示在各种自然语言推理任务中表现出色。然而,它在需要解决比提示中显示的示例更难的问题的任务上表现不佳。为了克服这种由易到难的概括…...
Java开发经验——日志治理经验
摘要 本文主要介绍了Java开发中的日志治理经验,包括系统异常日志、接口摘要日志、详细日志和业务摘要日志的定义和目的,以及错误码规范和异常处理规范。强调了日志治理的重要性和如何通过规范化错误码和日志格式来提高系统可观测性和问题排查效率。 1. …...
使用复数类在C#中轻松绘制曼德布洛集分形
示例在 C# 中绘制曼德布洛特集分形解释了如何通过迭代以下方程来绘制曼德布洛特集: 其中 Z(n) 和 C 是复数。程序迭代此方程,直到 Z(n) 的大小至少为 2 或程序执行最大迭代次数。 该示例在单独的变量中跟踪数字的实部和虚部。此示例使用Complex类来更轻松…...
VSCode 启用免费 Copilot
升级VSCode到 1.96版本,就可以使用每个月2000次免费额度了,按照工作日每天近80次免费额度,满足基本需求。前两天一直比较繁忙,今天周六有时间正好体验一下。 引导插件安装GitHub Copilot - Visual Studio Marketplace Extension f…...
常见问题整理
DevOps 和 CICD DevOps 全称Development & Operation 一种实现开发和运维一体化的协同模式,提供快速交付应用和服务的能力 用于协作:开发,部署,质量测试 整体生命周期工作内容,最终实现持续继承,持续部…...
使用Vue创建前后端分离项目的过程(前端部分)
前端使用Vue.js作为前端开发框架,使用Vue CLI3脚手架搭建项目,使用axios作为HTTP库与后端API交互,使用Vue-router实现前端路由的定义、跳转以及参数的传递等,使用vuex进行数据状态管理,后端使用Node.jsexpress…...
【Springboot知识】Redis基础-springboot集成redis相关配置
文章目录 1. 添加依赖2. 配置Redis连接3. 配置RedisTemplate(可选)4. 使用RedisTemplate或StringRedisTemplate5. 测试和验证 集群配置在application.properties中配置在application.yml中配置 主从配置1. 配置Redis服务器使用配置文件使用命令行 2. 配置…...
网络安全概论——身份认证
一、身份证明 身份证明可分为以下两大类 身份验证——“你是否是你所声称的你?”身份识别——“我是否知道你是谁?” 身份证明系统设计的三要素: 安全设备的系统强度用户的可接受性系统的成本 实现身份证明的基本途径 所知:个…...
OpenHarmony-4.HDI 框架
HDI 框架 1.HDI介绍 HDI(Hardware Device Interface,硬件设备接口)是HDF驱动框架为开发者提供的硬件规范化描述性接口,位于基础系统服务层和设备驱动层之间,是连通驱动程序和系统服务进行数据流通的桥梁,是…...
leecode494.目标和
这道题目第一眼感觉就不像是动态规划,可以看出来是回溯问题,但是暴力回溯超时,想要用动态规划得进行一点数学转换 class Solution { public:int findTargetSumWays(vector<int>& nums, int target) {int nnums.size(),bagWeight0,s…...
)
在Spring中application 的配置属性(详细)
application 的配置属性。 这些属性是否生效取决于对应的组件是否声明为 Spring 应用程序上下文里的 Bean (基本是自动配置 的),为一个不生效的组件设置属性是没有用的。 multipart multipart.enabled 开启上传支持(默认&a…...
jvm符号引用和直接引用
在解析阶段中,符号引用和直接引用是Java类加载和内存管理中的重要概念,它们之间存在显著的区别。以下是对这两个概念的详细解析: 一、定义与特性 符号引用(Symbolic Reference) 定义:符号引用是编译器生成的用于表示类、方法、字段等的引用方式。特性: 独立性:符号引用…...
一文流:JVM精讲(多图提醒⚠️)
一文流系列是作者苦于技术知识学了-忘了,背了-忘了的苦恼,决心把技术知识的要点一笔笔✍️出来,一图图画出来,一句句讲出来,以求刻在🧠里。 该系列文章会把核心要点提炼出来,以求掌握精髓,至于其他细节,写在文章里,留待后续回忆。 目前进度请查看: :::info https:/…...
python 分段拟合笔记
效果图: 源代码: import numpy as np import cv2 import matplotlib.pyplot as plt from numpy.polynomial.polynomial import Polynomialdef nihe(x_points,y_points,p_id):# 按照 p_id 将 points 分成两组group_0_x = []group_0_y = []group_1_x = []group_1_y = []for i, …...
OpenClaw多模型切换:GLM-4.7-Flash与Qwen混合使用指南
OpenClaw多模型切换:GLM-4.7-Flash与Qwen混合使用指南 1. 为什么需要多模型切换? 去年我在尝试用OpenClaw自动化处理技术文档时,发现单一模型很难满足所有需求。有些任务需要快速响应(如简单问答),有些则…...
手把手教你用超级千问语音设计世界制作游戏剧情配音
手把手教你用超级千问语音设计世界制作游戏剧情配音 1. 为什么游戏开发者需要语音设计工具 在游戏开发过程中,配音往往是最容易被忽视却又至关重要的环节。传统配音方式面临三大痛点: 成本高昂:专业配音演员费用动辄上千元每分钟效率低下&…...
:物料系统之内置组件库)
AI驱动的Vue3应用开发平台深入探究(十):物料系统之内置组件库
内置组件库(Element Plus、Ant Design Vue、Vant) VTJ 通过其统一的物料系统架构,与三个流行的 Vue 组件库提供了全面的集成。这一抽象层使开发者能够利用熟悉的组件模式,同时保持低代码的可扩展性和跨库的可移植性。该系统将组件…...
【C++ 面试突击 · 05】大厂高频面试题:从内联函数到内存管理全梳理
目录 一、什么是inline函数? 二、inline函数的优缺点? 三、inline和宏定义的比较? 四、虚函数(virtual)可以是内联函数(inline)吗? 五、C中struct和class的区别? 六…...
MWGA 双线编译技术方案:一份代码,双端生成
核心技术原理MWGA 的双线编译基于模块化架构与跨平台编译引擎,实现「一份代码,双向生成」。代码分层: 将代码划分为核心业务逻辑层与端侧 UI 适配层。核心层包含数据模型、算法、权限校验等通用功能,纯 C# 编写且不依赖端侧 API&a…...
SpringBoot集成gRPC踩坑指南:从.proto文件到服务调用的完整流程
SpringBoot与gRPC深度整合实战:从协议定义到生产级部署 在微服务架构盛行的今天,跨语言服务调用已成为刚需。作为Google开源的RPC框架,gRPC凭借其基于HTTP/2的高效传输和Protocol Buffers的紧凑序列化,在分布式系统中展现出独特优…...
)
SHAP多分类可视化报错?手把手教你用shap.summary_plot搞定Iris数据集(附正确代码)
SHAP多分类可视化报错?手把手教你用shap.summary_plot搞定Iris数据集(附正确代码) 最近在复现SHAP多分类可视化时,不少同行反馈遇到了"TypeError: only integer scalar arrays can be converted to a scalar index"的报…...
WechatDecrypt终极指南:3步轻松解密微信数据库的完整方案
WechatDecrypt终极指南:3步轻松解密微信数据库的完整方案 【免费下载链接】WechatDecrypt 微信消息解密工具 项目地址: https://gitcode.com/gh_mirrors/we/WechatDecrypt 想要找回珍贵的聊天记录却苦于微信加密机制?WechatDecrypt作为一款专业的…...
OpenClaw性能调优:GLM-4.7-Flash响应速度提升30%实战
OpenClaw性能调优:GLM-4.7-Flash响应速度提升30%实战 1. 为什么需要性能调优 上周我在本地部署了OpenClaw对接GLM-4.7-Flash模型,准备用它自动处理日常的邮件分类和会议纪要整理。但很快发现一个问题:每次任务响应时间都在8-12秒徘徊&#…...
)
Ollama API 实战:5分钟搞定本地大模型聊天机器人(Python版)
Ollama API 实战:5分钟搞定本地大模型聊天机器人(Python版) 在AI技术快速发展的今天,本地运行大型语言模型已成为可能。Ollama作为一个轻量级框架,让开发者能够轻松在本地计算机上部署和运行各种开源大模型。本文将带你…...