volatilityの使い方
最初にimgのプロファイルを推定
> volatility -f imageinfo
調査用コマンドの例
> volatility -f --profile==Win7SP1x86 pslist
レジストリのhashdumpの使用
最初にhivelistコマンドでSYSTEMハイブ(-y)とSAMハイブ(-s)のオフセットを確認する
> volatility -f --profile==Win7SP1x86 hivelist
> volatility -f --profile==Win7SP1x86 hasdump -y 0xe1035d60 -s 0xe173eb68
…各ユーザのパスワードhashが表示される
-d オプションは結果出力先のパスを指定
よく使いそうなもの
pstree
connscan
cmdscan
ちょっとメモ
Defaultgateway
Darkcomet
RemoteShell ipconfig→192.168.0.XXX
ADSVのAdminPasswd
mimikatzを
privilege::debug
sekurlsa::logonpasswords
exit
>> ~tmp/victim.txt
csvde.exe -ur -f <出力ファイル.txt> -b administrator datafusioncenter.local
リモートマシンで起動中のプログラムの一覧を取得
tasklist /S
リモートマシンへのログイン
psexec \\
Tips
netuse \\
rarのPrefetchに圧縮したファイル名が含まれる
(パスワードがわからなくても内包物は判明する)
wmic /node:\