甘肃政法学院计算机犯罪侦查与取证实验
实验报告
课程名称计算机犯罪侦查取证
实验学期 2017 至 2018 学年第 1 学期
学生所在院系公安技术学院
年级 2015 专业班级网络安全与执法
学生姓名薛博文学号 201583140138 任课教师赵进龙
实验成绩
2017年12月20日
《密码破解实验》课程综合性实验报告
一、使用命令:volatility -f mem.vmem imageinfo
发现这个内存镜像的系统版本信息为:WinXP SP2 x86位
列举缓存在内存的所有进程
使用命令:volatility -f mem.vmem –profile=WinXPSP2x86 pslist
列举缓存在内存的注册表
使用命令:volatility -f mem.vmem –profile=WinXPSP2x86 hivelist
发现注册表信息和所在的路径
打印出注册表中的数据
打印Liunx中注册表的命令需要用到的命令为hivedump
具体命令为:Volatility -f mem.vmem –profile=WinXPSP2x86 hivedump -o 注册表的virtual 由列举内存中注册表信息可以看出,注册表的虚拟地址:
\Device\HarddiskVolume1\WINDOWS\system32\config\software
发现账户四个用户,分别为:Administrator Guest HelpAssistantSUPPORT_388945a0
提取出内存中记录的当时正在运行的程序有哪些,运行过多少次,最后一次运行的时间等信息使用命令:volatility -f mem.vmem –profile=WinXPSP2x86 userassist