sábado, 8 de julio de 2017

Hobbytrucos.- Volatility (I)

Lo prometido es deuda y como ayer no hice entrada la cambiamos por el parón de los sábados aunque esta este programada . Bueno,  prometí compartir mis hobbytrucos para la CTF que tenia hoy (aunque haya quedado último) pero creo que será esta información os gustará y me ayudará a mejora.


Trabajar con registros en Volatility: 

  • Para ver las hives cacheadas, grupos lógicos de keys, subkeys, y valores en el registro.
    •  volatility -f random.dmp --profile=profile hivelist
      • Con este comando podremos ver donde empieza y donde acaba cada hive
    •  volatility -f random.dmp --profile=profile printkey -o iniciodeloffset  -K 'rutaenlosregistros'
      • Con este comando podremos "navegar entre las key y las subkeys de una hive en busca de los valores que nos interesen. 
Extraer un dmp de un proceso que nos interese de una imagen raw con Volatility:

  • Primero deberíamos ver el arbol de procesos del raw por si hubiera alguno que nos interesara:
    • volatility -f random.raw pslist --profile=profile pstree
  • Una vez hemos encontrado el proceso que nos interesa nos quedamos con el Process identificator (PID) y usamos el siguiente comando para guardar un .dmp en /root/ para luego jugar con el: 
    • volatility -f random.raw --profile=profile memdump -p 4092 -D /root/
Sed Buenos ;) 

No hay comentarios:

Publicar un comentario