General notes about exploiting windows X64
- 格式:pdf
- 大小:206.07 KB
- 文档页数:42


内存取证volatility⼯具使⽤
title:内存取证⼯具 volatility 使⽤说明
date: 2021-5-22
tags: CTF,基础
categories:
CTF
基础
内存取证⼯具 volatility 使⽤说明
命令格式
在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统
知道镜像后,就可以在 –profile 中带上对应的操作系统
常见的插件
查看当前展⽰的 notepad ⽂本
查看当前操作系统中的 password hash,例如 Windows 的 SAM ⽂件内容
查看所有进程
扫描所有的⽂件列表
扫描 Windows 的服务
查看⽹络连接
查看命令⾏上的操作
根据进程的 pid dump出指定进程到指定的⽂件夹dump_dir
dump 出来的进程⽂件,可以使⽤ foremost 来分离⾥⾯的⽂件,⽤ binwak -e 经常会有问题,需要重新修复⽂件⽀持的各种插件volatility [plugin] -f [image] --profile=[profile]
volatility imageinfo -f file.raw
volatility notepad -f file.raw --profile=WinXPSP2x86
volatility hashdump -f file.raw --profile=WinXPSP2x86
volatility psscan -f file.raw --profile=WinXPSP2x86
volatility filescan -f file.raw --profile=WinXPSP2x86
volatility svcscan -f file.raw --profile=WinXPSP2x86
volatility connscan -f file.raw --profile=WinXPSP2x86
volatility cmdscan -f file.raw --profile=WinXPSP2x86
[操作系统]windowsxpsp2激活过程全纪录及揭露activator伪激活!
经过我们漫长的等待,windows xp sp2终于和我们见面了。这个在历史上耗资最大的补丁程
序在给我们带来快速、稳定的操作系统的同时,新的问题出现了,我们需要面对他的激活问
题。这几天小宁在群组里搜集了一些经典的场景,同时做了一次小白,把所得到的经验分享
给大家。
场景1:我的操作系统是windows xp professional(不带sp1)零售版本,刚装好原版还没有
激活。我该如何升级到windows xp sp2?
对于不带任何补丁的原版的windows xp pro,我们建议的升级到sp2的方法就是算号先
激活,无论是利用最初发行的慢速算号器还是后出品的4IN1算号器,都是可以的。这里当然
还提供给大家各种算号器和cdkey的更换工具。多尝试几次,激活了原版,就可以顺利的打
上SP2。
场景2:我的操作系统是windows xp professional OEM系列的(没有SP或者SP1),我该如
何正确升级到SP2?
SP1刚出品的时候,为了激活,很多朋友都使用了修改BIOS信息的方法进行OEM系统的安
装。SP2问世之后,很多朋友反映说可以顺利升级,但是另外一部分的朋友反映说OEM系统升
级之后依然需要激活,但是相同点是,都用的winbeta或者微软官方放出来的补丁。因为OE
M的品牌比较多,所以难找规律。而且,如果升级到SP2需要激活,这个问题是非常严重的!
因为OEM的激活机制和普通的零售版不同,没有合适的算号器,甚至你把系统的SP2删除都有
可能再次出现激活问题。所以大家一定要慎重,我朋友主要反映dell的OEM系统这个现象比
较严重,所以请大家注意。对于OEM系统的升级,小宁建议您耐心等待,各大OEM厂商的主页
将会陆续出现SP2的更新连接,请朋友们耐心等待一下,以免造成不必要的麻烦。
Windows XP
OEM Preinstallation Kit
Design Notes
Microsoft Windows Family of Operating Systems
Using the Mass Storage Device Installation
Tool (MSDInst.exe)
Abstract: This white paper describes how to use the new mass storage device installation tool
(MSDInst.exe) to add mass storage device drivers to an offline image. MSDInst.exe can be used
on images created for:
Windows XP Home Edition
Windows XP Professional
Windows XP 64-Bit Edition Version 2003
Windows Server 2003 family of operating systems (32-bit and 64-bit editions)
This tool also allows Original Equipment Manufacturers (OEMs) to add mass storage device
drivers to an offline image without rebooting the image or rebuilding the operating system. As a
result, OEMs can reduce the number of images they maintain. Using the Mass Storage Device Installation Tool (MSDInst.exe) ii
计算机系统安全 实验二-metasploit
-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII 计算机系统安全 实验二:
操作系统安全与metasploit渗透测试
实验目的:
学习计算机操作系统安全相关内容。
学习操作系统渗透相关内容
学习metasploit渗透工具使用。
实验原理:
Windows 操作系统安全结构
网络渗透原理
实验环境:
软件: vmware 环境下,
虚拟机, vm-WinXP镜像
虚拟机,backtrack 4及backtrack 5 虚拟机镜像 等。
实验拓扑:
被渗透机: 使用虚拟机XP,建议使用未安装更新的英文XP操作系统,,
设置其IP地址为,自动获得,虚拟机网络连接方式 NAT方式。实验室计算机network系统下中network_vm 目录中有metasploitable_XP,可使用之。
渗透测试机: 使用Bt4或5作为操作系统,
准备工作:
启动两台虚拟机,按上图方式设置,请先记录下两台虚拟机的IP:
被渗透机:
操作系统:____windows xp with sp1_________
IP地址: ____________________
渗透测试机:
操作系统:___________bt5_______
IP地址:___________________
(注意,若网络连接未启用,请先启用之,linux 下可使用ifup eth0) 实验内容:
第一部分:针对操作系统内部服务端口进行渗透
了解ms08-067漏洞详情:
(请课后上网查询相关内容)
漏洞描述:
曾经的冲击波、震荡波等大规模攻击都是由于Windows的RPC服务漏洞造成的,MS08-067远程溢出漏洞也不例外。MS08-067远程溢出漏洞的原因是由于Windows系统中RPC存在缺陷造成的,Windows系统的Server服务在处理特制RPC请求时存在缓冲区溢出漏洞,远程攻击者可以通过发送恶意的RPC请求触发这个溢出,如果受影响的系统收到了特制伪造的RPC请求,可能允许远程执行代码,导致完全入侵用户系统,以SYSTEM权限执行任意指令并获取数据,并获取对该系统的控制权,造成系统失窃及系统崩溃等严重问题。