1. 从memory dump 获得一些信息
volatility imageinfo -f memorydumpfilename.raw
现在我们知道该memory dump的profile类型是Win7SP1x86
2. 接下来我们获得注册表的位置
volatility hivelist -f memdumpfilename.raw –profile=Win7SP1x86(使用两个-,因为由于某些原因,他们显示为一个-)
3. 从内存中获得密码hash
我们需要知道system和sam key的起始位置,查找上图,copy SYSTEM和SAM位置的第一列,把输出保存到hashs.txt文件中
volatility hashdump -f memdumpfilename.raw –profile=Win7SP1x86 -y 0x87c1a248 -s 0x8bfaa008 > hashs.txt (double dashes in front of profile)
得到结果: