linux 内存镜像提取命令,内存镜像获取工具推荐
Windows系统:
moonsols,官方网站:http://www.moonsols.com/,有免费版和收费版,支持获取内存镜像,文件转换等功能,目前支持到Windows 10。
moonsols可以处理休眠文件(Hiberfil.sys),crashdump文件和raw memory dump文件,crashdump可以被winDBG加载进行分析,所以最终要转化为crashdump文件。
1、获取镜像,运行DumpIt.exe。获取到的是crashdump文件。
2、拿到raw memory dump文件,运行Bin2Dmp.exe转化为crashdump文件。
例如虚拟机的vmem(vmsn)文件为raw memory dump文件需要转换,详见 利用Mimikatz提取虚拟机内存中的密码 。
3、Hiberfil.sys 转换为crashdump文件。
运行Hibr2Dmp.exe或者Hibr2Bin.exe。
PS:FTKimager获取的是raw memory dump文件。
MAX OSX系统
rekall在三种操作系统下均有获取镜像的Pmem程序,但win和linux下兼容性不行,OSXPMem很棒,支持到最新的10.10.x。
运行如下命令:
sudo chown -R root:wheel pmem.kext
sudo chown chmod -R 755 pmem.kext
sudo kextload -v pmem.kext
./osxpmem -f raw mem.bin
或者直接
sudo bash
kextload pmem.kext
./osxpmem -f raw mem.bin
Linux系统:
将lmg-master内文件放入LiME的src文件夹,运行sudo ./lmg 搞定。
后续的内存分析可以使用专门的取证分析软件或者Volatility等开源软件进行分析。
注意:有些分析工具支持的是bin格式的,也就是raw memory dump。
参考资料:http://www.forensicswiki.org/wiki/Tools%3aMemory_Imaging#Linux
linux 内存镜像提取命令,内存镜像获取工具推荐相关推荐
- 【Android 逆向】修改运行中的 Android 进程的内存数据 ( Android 命令行中获取要调试的应用进程的 PID | 进程注入调试进程内存的 so 库 )
文章目录 一.Android 命令行中获取要调试的应用进程的 PID 二.进程注入调试进程内存的 so 库 一.Android 命令行中获取要调试的应用进程的 PID 前置博客 [Android 逆向 ...
- linux查询主机信息命令,用来获取Linux主机信息的5个常用命令
有些时候Linux 系统管理员在接手一台新的服务器时,如果没有好的交接文档,我们想要得到的主机信息就只能靠自己了.很多主机信息是可以直接通过命令从主机上获得的,本文就与大家分享 5 个获取 Linux ...
- 图片坐标提取软件/图片坐标点和像素点颜色提取软件/图片坐标获取工具/Python图片坐标获取源码/图片像素坐标获取软件/python tkinter 图片显示(完全开源)
该软件使用python写的,可以提取像素点的坐标还有也能获取像素点的16进制数据RGB565和RGB888(RGB888仅最新的源码才支持),可以单点坐标也可以按键坐标,甚至可以使用简单的左右键配合使 ...
- linux里返回状态命令行,Shell $?获取函数返回值或者上一个命令的退出状态
$? 是一个特殊变量,用来获取上一个命令的退出状态,或者上一个函数的返回值. 所谓退出状态,就是上一个命令执行后的返回结果.退出状态是一个数字,一般情况下,大部分命令执行成功会返回 0,失败返回 1, ...
- linux下路由跟踪命令,tracert路由跟踪工具使用方法
1. 路由跟踪在线Tracert工具说明 Tracert(跟踪路由)是路由跟踪实用程序,用于确定 IP 数据报访问目标所采取的路径.Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP ...
- 浅谈Docker:DockerLinux安装,镜像管理命令,镜像制作命令,容器管理命令,数据卷,DockerFile,Docker-compose
什么是Docker? Docker 概念 • Docker 是一个开源的应用容器引擎 • 诞生于 2013 年初,基于 Go 语言实现, dotCloud 公司出品(后改名为Docker Inc) • ...
- Docker镜像常用命令
Docker镜像常用命令 查看镜像列表 docker images $ docker images >>> REPOSITORY TAG IMAGE ID CREATED SIZE ...
- ubantu系统镜像提取及安装
@system back -ubantu系统镜像提取及安装 一个新坑:不能先设置主板的上电自启功能,得先安装系统 ubantu系统镜像提取及安装 镜像提取: 1.工具:systemback 安装: s ...
- docker 仓库镜像 替换_自己动手创建 Docker 镜像并分享到镜像仓库,容器引擎的用途越来越广泛!...
↑ 点击上面 "时代Java"关注我们,关注新技术,学习新知识! 前面在公众号里讲过Docker安装和基本用法和概念,新来的小伙伴可以先去学习一下: docker yum快速安装和 ...
最新文章
- php 判断时间超过5分钟_小学音乐20分钟试讲面试,只有5天复习时间可以逆袭吗?...
- python描述器 触发事件_Python面向对象 - 描述器
- 在Jetson Xavier NX上安装torchvision编译报错:fatal error: libavcodec/avcodec.h: No such file or directory
- python 并列条形图_python – 如何绘制具有相同X坐标并排的条形图
- vue-cli@4安装Element-ui
- DDA算法和Bresenham算法
- 对于如何彻底的卸载和删除Windows service,有如下方法
- EFS加密文件重装系统无法打开图标带小锁显示绿色解密
- 前端使用微信sdk上传图片的坑,及万千种方法比较实用的一种,亲测有效
- mongodb设置用户账号密码登录
- 有道云笔记、石墨笔记、 Effie …采编怎么选?
- Oracle存储过程中loop、for循环的用法
- 数据结构-头插法和尾插法
- 捕食者-被捕食者方程组分析
- Kerberos (一) --------- Kerberos 部署
- 韦东山ARM第一期作业(一)ARM时钟体系
- 吴雪筠校友报告会 --职场仪表—心态—自强之道
- 如何在Windows上安装Ghost
- 【数据平台】之Cassandra大数据利器
- 电子计算机在电法勘探中的应用,电法勘探数字解释基础.doc