kali 安装volatility_kali对Windows内存在线取证
kali对Windows的内存取证
在kali系统上,有VOLATILITY等工具,可以方便的完成内存镜像取证等工作,如何将Windows系统内存镜像数据给VOLATILITY分析呢?除了通过DumpIt等第三方工具镜像为文件外,本文将介绍一种方法,将更方便的完成内存镜像取证。
准备工作
一台被内存镜像取证的电脑运行的windows系统
一台取证电脑运行的kali系统
两台电脑要能通过网络通信,并且最好是有线千M以上网络,因为windows系统的内存镜像数据,是要通过网络传到kali系统的,所以网络速度至关重要。
安装软件
在Windows系统上,安装RFBD,RFBD是跨平台的nbd-server,通过该服务实现读取Windows内存数据。
主页:http://ranfs.com/cn/?RFBD
用管理员权限运行powershell,执行如下命令:
$rfbd_dir="c:rfbd";Invoke-Expression(New-Object Net.WebClient).DownloadString("http://ranfs.com/pub/rfbd/all/get.ps1")
注意: $rfbd_dir="c:rfbd"
中的 c:rfbd
为rfbd安装目录, 如要安装其它目录,请更改此路径。
在没有powershell系统里,请手动下载安装包,运行里面的install.bat即可完成安装。
关于防火墙配置,默认情况下,脚本自动配置了系统防火墙,放行了使用的端口,如果使用了其它防火墙,请手动放行10809端口和6780端口,10809为nbd服务端口,必须放行 ,6780为web调试和配置端口,根据需要放行。
在Kali系统上,执行如下命令
sudo apt install nbd-client
sudo modprobe nbd
好了,基本工作准备完成
挂载内存镜像和分析
执行如下命令
sudo nbd-client -N /dev/pmem -b 4096 192.168.253.1 10809 /dev/nbd0
注意:-b 4096 为扇区字节数,192.168.253.1为RFBD所在系统ip地址。
sudo volatility -f /dev/nbd0 imageinfo
接下来可使用volatility相关功能对/dev/nbd0进行分析,如同对远端Windows物理内存进行分析一样,需要注意这是在线分析,Windows内存数据在运行中,会不断改变。
如何开启读写挂载
默认情况,nbd-client挂载的设备为只读挂载,如何开启读和写支持呢?
1、修改rfbd.ini,配置字段 nbd_readonly=true
为 nbd_readonly=false
, 更改配置后需要重启rfbd服务才会生效。
2、使用web配置nbd.readonly_flag
为 false, 更改设置后,不需要重启rfbd,但需要nbd-client断开后,重新执行挂载命令,设置方法如下,在kali系统里,使用浏览器打开 192.168.253.1:6780
,点击配置如下图:
双击值true
更改为false
, 然后鼠标点击空白处,点击在操作里出现的保存按钮。
支持挂载的文件名
在Windows系统下,支持如下别名文件
/dev/pmem 对应 DevicePhysicalMemory的别名,实现对物理内存读写
/dev/disk[0-9] 对应 .PhysicalDrive[0-9]的别名,实现对物理硬盘的读写
同时还支持文件路径名 如c:tmp1.img
。使用命令如下:
sudo nbd-client -N c:tmp1.img -b 512 192.168.253.1 10809 /dev/nbd2
注意:请确保网络正常,及RFBD正常运行。
遇到不能解决的问题,请联系:tech@ranfs.com, 或加QQ群:599829506。
kali 安装volatility_kali对Windows内存在线取证相关推荐
- windows没有磁盘_Windows硬盘和内存镜像取证
Windows硬盘和内存镜像取证 在Windows系统上,有winhex等神器,可以对本地硬盘和物理内存完成镜像取证等工作,但如何对远程的Windows系统的硬盘和物理内存数据进行集中的镜像取证呢?除 ...
- 数字取证技术 :Windows内存信息提取
数字取证技术 :Windows内存信息提取.后面会花一部分时间,写一些数字取证相关的文章.攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究. 大致想了一下,主要会从以下几个 ...
- Kali 安装详细步骤
本文主要详细介绍 kali 的安装过程,以及安装完成后的基本设置,比如安装增强工具,安装中文输入法以及更新升级等操作. 文章目录 实验环境 准备工作 步骤说明 安装虚拟机 安装 Kali 安装增强工具 ...
- kali安装Aria2
kali安装Aria2 Aria2是一个开源的免费轻量级多协议和多服务器命令行下载实用程序,适用于Windows,Linux和Mac OSX.Aria2作为一款Linux下的下载神器,很多极客都在使用 ...
- kali安装卡在最后一步_windows下 安装Kali Linux到 U盘的方法-维码
作者:玄魂工作室 2020年11月07日2020年11月07日 把Kali Linux安装到U盘好处很多,可以从U盘启动使用整个电脑的硬件资源, 可以随身携带,减少对自己电脑的影响. 今天要给大家讲的 ...
- Huawei Matebook X Pro 2018把Kali安装到物理机以及使用之中遇到的问题汇总
寒假在家闲来无事又喜欢倒腾东西-在多年的Windows使用经历,用过xp.win7.win8.win10.感觉就是,Windows下载软件的捆绑有些多,一个不小心就中招了...而且系统占用的也挺多,刚 ...
- 安装linux和windows双系统
很多人一提到安装linux和windows双系统就会想到单独将磁盘划一个分区给linux,如果一块磁盘上已经安装了windows,并且所有分区都有数据,那就麻烦了,即使有了单独的分区,还需要安装gru ...
- Windows内存管理和linux内存管理
windows内存管理 windows 内存管理方式主要分为:页式管理,段式管理,段页式管理. 页式管理的基本原理是将各进程的虚拟空间划分为若干个长度相等的页:页式管理把内存空间按照页的大小划分成片或 ...
- kali linux提示安装系统失败,kali“安装系统”失败分析及解决
昨天打算把kali安装在硬盘上,因而便去下载了一个amd64位的1.06版本的kali linux.linux 而后就这样一直放着,过一段时间后,下载完成.我是放在D盘根目录,那时只有一个kali-l ...
最新文章
- 互联网医疗上市“大逃杀”
- Webshell免杀绕过waf
- java与c 通信_Java与C之间的socket通信
- 图片相似度——hash算法简介
- ckpt转pb,batch normalzition 出现的ValueError问题
- 离散数学思维导图 - 集合论,命题逻辑,谓词逻辑,二元关系,特殊关系,图论,树
- SQL200修改服务器IP,如何修改SQL IP地址
- 2021年度考核登记表
- 软件的高可用性、可扩展性和高性能
- NSSA区域和Totally NSSA区域
- Linux之sed流编辑器
- 新增修改BP客户/供应商
- 解决Error response from daemon: conflict: unable to delete bf6a13bd36ca (must be forced)
- 互联网晚报 |12/8 星期四| 购火车票乘车将停止查验核酸证明;iPhone 15折叠屏渲染图曝光;前三季度京津冀经济持续恢复...
- 2022年程序员开工第一周,应该收藏这样一份书单
- 用强化学习通关超级马里奥!
- 单电源运放全波整流电路
- 薪酬 | 2020年 DBA薪资报告:你的待遇是否受到疫情影响?
- java调用执行windows命令
- 全球AI界最值得关注的十位科学家