[译]使用Volatility从memory dump获得密码

原文地址: https://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/

1. 从memory dump 获得一些信息
volatility imageinfo -f memorydumpfilename.raw

[译]使用Volatility从memory dump获得密码
现在我们知道该memory dump的profile类型是Win7SP1x86
2. 接下来我们获得注册表的位置
volatility hivelist -f memdumpfilename.raw –profile=Win7SP1x86(使用两个-,因为由于某些原因,他们显示为一个-)
[译]使用Volatility从memory dump获得密码
3. 从内存中获得密码hash
我们需要知道system和sam key的起始位置,查找上图,copy SYSTEM和SAM位置的第一列,把输出保存到hashs.txt文件中
volatility hashdump -f memdumpfilename.raw –profile=Win7SP1x86 -y 0x87c1a248 -s 0x8bfaa008 > hashs.txt  (double dashes in front of profile)

[译]使用Volatility从memory dump获得密码
得到结果:
[译]使用Volatility从memory dump获得密码


你可能感兴趣的:(memory)