Lo prometido es deuda y como ayer no hice entrada la cambiamos por el parón de los sábados aunque esta este programada . Bueno, prometí compartir mis hobbytrucos para la CTF que tenia hoy (aunque haya quedado último) pero creo que será esta información os gustará y me ayudará a mejora.
Trabajar con registros en Volatility:
- Para ver las hives cacheadas, grupos lógicos de keys, subkeys, y valores en el registro.
- volatility -f random.dmp --profile=profile hivelist
- Con este comando podremos ver donde empieza y donde acaba cada hive
- volatility -f random.dmp --profile=profile printkey -o iniciodeloffset -K 'rutaenlosregistros'
- Con este comando podremos "navegar entre las key y las subkeys de una hive en busca de los valores que nos interesen.
- Primero deberíamos ver el arbol de procesos del raw por si hubiera alguno que nos interesara:
- volatility -f random.raw pslist --profile=profile pstree
- Una vez hemos encontrado el proceso que nos interesa nos quedamos con el Process identificator (PID) y usamos el siguiente comando para guardar un .dmp en /root/ para luego jugar con el:
- volatility -f random.raw --profile=profile memdump -p 4092 -D /root/
Sed Buenos ;)
No hay comentarios:
Publicar un comentario