Windows系统:

moonsols,官方网站:http://www.moonsols.com/,有免费版和收费版,支持获取内存镜像,文件转换等功能,目前支持到Windows 10。

moonsols可以处理休眠文件(Hiberfil.sys),crashdump文件和raw memory dump文件,crashdump可以被winDBG加载进行分析,所以最终要转化为crashdump文件。

1、获取镜像,运行DumpIt.exe。获取到的是crashdump文件。

2、拿到raw memory dump文件,运行Bin2Dmp.exe转化为crashdump文件。

例如虚拟机的vmem(vmsn)文件为raw memory dump文件需要转换,详见 利用Mimikatz提取虚拟机内存中的密码 。

3、Hiberfil.sys 转换为crashdump文件。

运行Hibr2Dmp.exe或者Hibr2Bin.exe。

PS:FTKimager获取的是raw memory dump文件。

MAX OSX系统

rekall在三种操作系统下均有获取镜像的Pmem程序,但win和linux下兼容性不行,OSXPMem很棒,支持到最新的10.10.x。

运行如下命令:

sudo chown -R root:wheel pmem.kext

sudo chown chmod -R 755 pmem.kext

sudo kextload -v pmem.kext

./osxpmem -f raw mem.bin

或者直接

sudo bash

kextload pmem.kext

./osxpmem -f raw mem.bin

Linux系统:

将lmg-master内文件放入LiME的src文件夹,运行sudo ./lmg 搞定。

后续的内存分析可以使用专门的取证分析软件或者Volatility等开源软件进行分析。

注意:有些分析工具支持的是bin格式的,也就是raw memory dump。

参考资料:http://www.forensicswiki.org/wiki/Tools%3aMemory_Imaging#Linux

linux 内存镜像提取命令,内存镜像获取工具推荐相关推荐

  1. 【Android 逆向】修改运行中的 Android 进程的内存数据 ( Android 命令行中获取要调试的应用进程的 PID | 进程注入调试进程内存的 so 库 )

    文章目录 一.Android 命令行中获取要调试的应用进程的 PID 二.进程注入调试进程内存的 so 库 一.Android 命令行中获取要调试的应用进程的 PID 前置博客 [Android 逆向 ...

  2. linux查询主机信息命令,用来获取Linux主机信息的5个常用命令

    有些时候Linux 系统管理员在接手一台新的服务器时,如果没有好的交接文档,我们想要得到的主机信息就只能靠自己了.很多主机信息是可以直接通过命令从主机上获得的,本文就与大家分享 5 个获取 Linux ...

  3. 图片坐标提取软件/图片坐标点和像素点颜色提取软件/图片坐标获取工具/Python图片坐标获取源码/图片像素坐标获取软件/python tkinter 图片显示(完全开源)

    该软件使用python写的,可以提取像素点的坐标还有也能获取像素点的16进制数据RGB565和RGB888(RGB888仅最新的源码才支持),可以单点坐标也可以按键坐标,甚至可以使用简单的左右键配合使 ...

  4. linux里返回状态命令行,Shell $?获取函数返回值或者上一个命令的退出状态

    $? 是一个特殊变量,用来获取上一个命令的退出状态,或者上一个函数的返回值. 所谓退出状态,就是上一个命令执行后的返回结果.退出状态是一个数字,一般情况下,大部分命令执行成功会返回 0,失败返回 1, ...

  5. linux下路由跟踪命令,tracert路由跟踪工具使用方法

    1. 路由跟踪在线Tracert工具说明 Tracert(跟踪路由)是路由跟踪实用程序,用于确定 IP 数据报访问目标所采取的路径.Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP ...

  6. 浅谈Docker:DockerLinux安装,镜像管理命令,镜像制作命令,容器管理命令,数据卷,DockerFile,Docker-compose

    什么是Docker? Docker 概念 • Docker 是一个开源的应用容器引擎 • 诞生于 2013 年初,基于 Go 语言实现, dotCloud 公司出品(后改名为Docker Inc) • ...

  7. Docker镜像常用命令

    Docker镜像常用命令 查看镜像列表 docker images $ docker images >>> REPOSITORY TAG IMAGE ID CREATED SIZE ...

  8. ubantu系统镜像提取及安装

    @system back -ubantu系统镜像提取及安装 一个新坑:不能先设置主板的上电自启功能,得先安装系统 ubantu系统镜像提取及安装 镜像提取: 1.工具:systemback 安装: s ...

  9. docker 仓库镜像 替换_自己动手创建 Docker 镜像并分享到镜像仓库,容器引擎的用途越来越广泛!...

    ↑ 点击上面 "时代Java"关注我们,关注新技术,学习新知识! 前面在公众号里讲过Docker安装和基本用法和概念,新来的小伙伴可以先去学习一下: docker yum快速安装和 ...

最新文章

  1. php 判断时间超过5分钟_小学音乐20分钟试讲面试,只有5天复习时间可以逆袭吗?...
  2. python描述器 触发事件_Python面向对象 - 描述器
  3. 在Jetson Xavier NX上安装torchvision编译报错:fatal error: libavcodec/avcodec.h: No such file or directory
  4. python 并列条形图_python – 如何绘制具有相同X坐标并排的条形图
  5. vue-cli@4安装Element-ui
  6. DDA算法和Bresenham算法
  7. 对于如何彻底的卸载和删除Windows service,有如下方法
  8. EFS加密文件重装系统无法打开图标带小锁显示绿色解密
  9. 前端使用微信sdk上传图片的坑,及万千种方法比较实用的一种,亲测有效
  10. mongodb设置用户账号密码登录
  11. 有道云笔记、石墨笔记、 Effie …采编怎么选?
  12. Oracle存储过程中loop、for循环的用法
  13. 数据结构-头插法和尾插法
  14. 捕食者-被捕食者方程组分析
  15. Kerberos (一) --------- Kerberos 部署
  16. 韦东山ARM第一期作业(一)ARM时钟体系
  17. 吴雪筠校友报告会 --职场仪表—心态—自强之道
  18. 如何在Windows上安装Ghost
  19. 【数据平台】之Cassandra大数据利器
  20. 电子计算机在电法勘探中的应用,电法勘探数字解释基础.doc

热门文章

  1. 小程序云开发入门——问卷测评小程序实战(5)
  2. centos8替代linux,CentOS Linux 替代品
  3. 亿点点概述Android基础必会的四五六【四大组件 五大存储 六大布局】
  4. 什么是内存屏障?为什么需要内存屏障?
  5. Travel English
  6. python猜数游戏实验报告_python实现猜数游戏
  7. 用Python绘制超酷的gif动图,惊艳了所有人
  8. 解决联想小新pro16 Realtek 8852ae 网卡断连问题
  9. 快速破解ViEmu软件
  10. 什么是接地电阻?如何测量防雷接地电阻