Volumiser 命令行工具和交互式控制台GUI

作者:Sec-Labs | 发布时间:

介绍

Volumiser 是一个命令行工具和交互式控制台 GUI,用于从常见的虚拟机硬盘映像格式中列出、浏览和提取文件。

该工具的编写是为了解决一个常规问题,即在执行红色团队行动时,100G以上的大量磁盘镜像往往难以处理或渗出。虽然该工具是为进攻性行动创建的,但该工具也有超出其最初预期目的的好处。

Volumiser 交互式 GUI

Volumiser Interactive GUI

如果没有出色的DiscUtils 项目,Volumiser是不可能的,该项目在虚拟磁盘中完成大部分繁重的解析卷和文件系统。 虽然 EBS 卷支持是作为 volumiser 的一部分添加的功能,但这也利用了这个优秀的库来添加这种特定的磁盘映像格式。

Volumiser 支持以下磁盘映像格式:

  • 亚马逊 EBS 快照
  • 直接原始磁盘(类似于 NinjaCopy)
  • VHDX
  • VMDK
  • 虚拟硬盘
  • VHDX

以及以下文件系统:

  • NTFS文件系统
  • 胖的
  • 分机3
  • 分机4

用法

互动模式

--image 通过提供参数后跟本地文件或 EBS 快照 ID 来启动交互模式

EBS 快照示例

EBS 快照可以通过自定义 EBS 协议加载,该协议利用 EBS 直接 API 从 EBS 卷中查找和读取扇区。 默认情况下,AWS CLI 凭证文件用于身份验证,还可以使用 、 和 --awsprofile 参数 --awskey 指定 各种AWS 选项 --awssecret --awsregion

Volumiser.exe --image "ebs://snap-12345675c8173707d"

直接原始磁盘示例

如果您具有管理员权限,则可以通过 \\.\PhysicalDriveX 图像说明符或访问本地原始磁盘卷 \\.\C: 。 使用该 PhysicalDrive 方法时,这将解析整个磁盘上包含的所有卷。 在使用 BitLocker 加密卷的情况下,您可以切换到驱动器号方法,这将访问驱动器号公开的单个卷,该驱动器号将在读取卷扇区时自动由 Windows 解密。

读取连接到主机的第一个物理驱动器上存在的所有卷

Volumiser.exe --image "\\.\PhysicalDrive0"

读取附加到驱动器号 C: 的单个卷(对 BitLocker 卷使用此方法)

Volumiser.exe --image "\\.\C:"

本地图像文件示例

还可以指定可通过文件系统访问的磁盘映像,包括来自网络共享的文件

Volumiser.exe --image "c:\Virtual Machines\Domain Controller.vhdx"

C2模式

如果无法使用交互式控制台,Volumiser 支持直接通过 --command--path 参数列出卷和文件系统。

上市卷

可以使用 volumes 命令列出磁盘映像中包含的卷

Volumiser.exe --image "c:\Virtual Machines\Domain Controller.vhdx" --command volumes
[+] Opened disk image, Size: 127GB
        Volume ID: VLG{2d02912f-a98f-4074-aaee-c3444d01b43a}, Size: 100 MB, Type: Microsoft FAT
        Volume ID: VLG{22956ef6-5b59-41f7-8751-8331c6183062}, Size: 16 MB, Type: Unknown
        Volume ID: VLG{166c0197-909e-419d-a431-2d9b9df4d1fe}, Size: 129376 MB, Type: Microsoft NTFS
        Volume ID: VLG{bdd5d39c-a214-4ac2-a6b9-2477fe02ffc1}, Size: 553 MB, Type: Microsoft NTFS

列出文件系统

发现卷后,可以列出每个卷的文件系统

Volumiser.exe --image "c:\Virtual Machines\Domain Controller.vhdx" --command ls --path "VLG{166c0197-909e-419d-a431-2d9b9df4d1fe}:\Windows"
[+] Opened disk image, Size: 127GB
[+] Opened volume with ID VLG{166c0197-909e-419d-a431-2d9b9df4d1fe}
17/10/2022 18:51:29  DIR             appcompat
17/10/2022 19:52:06  DIR             apppatch
17/10/2022 18:59:17  DIR             AppReadiness
17/10/2022 19:53:57  DIR             assembly
14/05/2022 09:26:58  DIR             bcastdvr
14/05/2022 09:42:31  DIR             Boot
14/05/2022 09:26:54  DIR             Branding
14/05/2022 11:35:21  DIR             BrowserCor
...

“下载”文件

可以使用下载命令将文件“下载”到本地计算机

Volumiser.exe --image "c:\Virtual Machines\Domain Controller.vhdx" --command download --path "VLG{166c0197-909e-419d-a431-2d9b9df4d1fe}:\Windows\system32\config\SYSTEM"
[+] Opened disk image, Size: 127GB
[+] Opened volume with ID VLG{166c0197-909e-419d-a431-2d9b9df4d1fe}
[+] Opened file with path \Windows\System32\config\SYSTEM for with size: 12058624

 

标签:工具分享, 磁盘读取