Question

Мне нужна помощь в получении пароля пользователя из файла .vmem.Ниже приведен список шагов, которые я пробовал до сих пор

vmstools не вариант, насколько я понимаю, вам нужно оба .vmss and .vmem, чтобы использовать этот метод.

Волатильность Hivelist

C:\Users\adamd\Google Drive\643 Computer Systems Security\A2\volatility>volatility_2.6_win64_standalone -f "steverogers - Copy.vmem" --profile=Win7SP0x64 hivelist
Volatility Foundation Volatility Framework 2.6
Virtual            Physical           Name
------------------ ------------------ ----
0xfffff8a0016a9010 0x000000002bb53010 \??\C:\Users\Steve Rogers\ntuser.dat
0xfffff8a0016b3010 0x0000000036464010 \??\C:\Users\Steve Rogers\AppData\Local\Microsoft\Windows\UsrClass.dat
0xfffff8a001841410 0x000000001ee44410 \??\C:\System Volume Information\Syscache.hve
0xfffff8a00813f010 0x000000001442c010 \SystemRoot\System32\Config\SECURITY
0xfffff8a0081c3010 0x0000000015261010 \SystemRoot\System32\Config\SAM
0xfffff8a000903010 0x000000001d83d010 \SystemRoot\System32\Config\SOFTWARE
0xfffff8a000a9a010 0x0000000013d2f010 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0xfffff8a000b27010 0x0000000020b14010 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0xfffff8a000053410 0x00000000272f6410 \REGISTRY\MACHINE\HARDWARE
0xfffff8a0000ec010 0x00000000174c3010 \SystemRoot\System32\Config\DEFAULT
0xfffff8a000538010 0x000000001df78010 \Device\HarddiskVolume1\Boot\BCD

Волатильность pslist С помощью pslist заметил lsass.exe, который является еще одним способом, который люди упоминают в Интернете.Вы заметите ниже, когда я произвожу, у него есть ошибка.Есть ли в этом списке еще один процесс, который будет работать?

Offset(V)          Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit
------------------ -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0xfffffa800ccc29b0 System                    4      0     88      559 ------      0 2018-09-18 13:39:17 UTC+0000
0xfffffa800dae96a0 smss.exe                264      4      2       29 ------      0 2018-09-18 13:39:17 UTC+0000
0xfffffa800e861a40 csrss.exe               352    340      8      527      0      0 2018-09-18 13:39:18 UTC+0000
0xfffffa800e76d6d0 wininit.exe             392    340      3       76      0      0 2018-09-18 13:39:18 UTC+0000
0xfffffa800dfff060 csrss.exe               400    384     10      309      1      0 2018-09-18 13:39:18 UTC+0000
0xfffffa800eacfb00 services.exe            464    392      7      225      0      0 2018-09-18 13:39:18 UTC+0000
0xfffffa800eb02490 lsass.exe               472    392      7      724      0      0 2018-09-18 13:39:18 UTC+0000
0xfffffa800eafa530 lsm.exe                 480    392     10      149      0      0 2018-09-18 13:39:18 UTC+0000
0xfffffa800eb466f0 winlogon.exe            492    384      3      110      1      0 2018-09-18 13:39:18 UTC+0000
0xfffffa800ebf3650 svchost.exe             612    464     10      358      0      0 2018-09-18 13:39:19 UTC+0000
0xfffffa800ec22060 vmacthlp.exe            676    464      3       55      0      0 2018-09-18 13:39:19 UTC+0000
0xfffffa800ef0ab00 VGAuthService.         1424    464      3       90      0      0 2018-09-18 13:39:20 UTC+0000
0xfffffa800ef6ab00 vmtoolsd.exe           1472    464      9      310      0      0 2018-09-18 13:39:20 UTC+0000
0xfffffa800f0242c0 WmiPrvSE.exe           1760    612     10      206      0      0 2018-09-18 13:39:21 UTC+0000
0xfffffa800f04e060 dllhost.exe            1848    464     15      203      0      0 2018-09-18 13:39:21 UTC+0000
0xfffffa800f0d87d0 msdtc.exe              1932    464     13      152      0      0 2018-09-18 13:39:22 UTC+0000
0xfffffa800f0f5630 WmiPrvSE.exe            964    612     10      243      0      0 2018-09-18 13:39:41 UTC+0000
0xfffffa800ef899d0 taskhost.exe           2340    464      9      208      1      0 2018-09-18 13:41:02 UTC+0000
0xfffffa800f2d2a80 dwm.exe                2392    848      5       80      1      0 2018-09-18 13:41:02 UTC+0000
0xfffffa800f167060 explorer.exe           2448   2360     26      807      1      0 2018-09-18 13:41:02 UTC+0000
0xfffffa800cf819b0 vmtoolsd.exe           2636   2448      8      209      1      0 2018-09-18 13:41:02 UTC+0000
0xfffffa800cee9060 GoogleCrashHan         2796   2708      4       83      0      1 2018-09-18 13:41:07 UTC+0000
0xfffffa800dafd9c0 GoogleCrashHan         2808   2708      4       74      0      0 2018-09-18 13:41:07 UTC+0000
0xfffffa800eeb2b00 SearchIndexer.         2896    464     11      606      0      0 2018-09-18 13:41:08 UTC+0000
0xfffffa800d30ab00 wmpnetwk.exe           1888    464     13      420      0      0 2018-09-18 13:41:08 UTC+0000
0xfffffa800cef0600 mscorsvw.exe           2292    464      5       85      0      1 2018-09-18 13:41:21 UTC+0000
0xfffffa800cf724e0 mscorsvw.exe           2080    464      5       78      0      0 2018-09-18 13:41:21 UTC+0000
0xfffffa800de89860 chrome.exe             3168   2448     37     1143      1      0 2018-09-18 13:41:33 UTC+0000
0xfffffa800cf098f0 chrome.exe             3176   3168      7       82      1      0 2018-09-18 13:41:33 UTC+0000
0xfffffa800cef1260 chrome.exe             3208   3168      2       59      1      0 2018-09-18 13:41:33 UTC+0000
0xfffffa800cef1a00 chrome.exe             3356   3168     10      210      1      0 2018-09-18 13:41:33 UTC+0000
0xfffffa800de65b00 chrome.exe             3448   3168     15      206      1      0 2018-09-18 13:41:34 UTC+0000
0xfffffa800d558120 chrome.exe             2052   3168     17      229      1      0 2018-09-18 13:41:44 UTC+0000
0xfffffa800f2ca060 chrome.exe             3660   3168     14      178      1      0 2018-09-18 13:41:50 UTC+0000
0xfffffa800cf9da30 wuauclt.exe             872    968      4       96      1      0 2018-09-18 13:42:23 UTC+0000
0xfffffa800ecc18f0 mspaint.exe            2976   2448      6      192      1      0 2018-09-18 13:46:16 UTC+0000

Prodump волатильности для lsass.exe Дамп lsass.exe имеет ошибку из-за подкачки

Process(V)         ImageBase          Name                 Result
------------------ ------------------ -------------------- ------
0xfffffa800eb02490 0x00000000ffcd0000 lsass.exe            Error: ImageBaseAddress at 0xffcd0000 is unavailable (possibly due to paging)

Взломать пароль пользователя в .vmem нет списка волатильности SYSTEM зарегистрировать

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 0 ]

Взломать пароль пользователя в .vmem нет списка волатильности SYSTEM зарегистрировать

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 0 ]

Похожие темы