1.背景

本文主要使用Dumpit及Volatility对计算机进行取证,对内存文件进行分析,获取内存重要信息, 还原攻击。

2.内存镜像Dumpit

2.1 简介

Dumpit是用于生成Windows机器的物理内存转储,可运行在32位/64位系统中,可完美地部署在USB闪存盘上,快速响应事件。

2.2 下载链接

下载链接:https://github.com/thimbleweed/All-In-USB/tree/master/utilities/DumpIt

2.3 Dumpit使用

1.将软件拷贝到需要被内存镜像的计算机中,双击运行软件,如下图:
2.内存镜像文件默认保存在“DumpIt软件所在的目录”,镜像名格式默认为“主机名+当前时间”。
3.按“y”即可开始制作内存镜像。

4.制作完成后的文件为raw格式,至此Dumpit完成内存取证。

3.内存分析volatility

3.1 简介

Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。

3.2 volatility安装

1.我使用的环境为Kali2021.2,已不内置volatility,访问地址进行下载,如下图:https://www.volatilityfoundation.org/26

2.下载到本地后,unzip进行解压,并更名为volatility,复制到/usr/sbin/,不需要修改环境变量即可使用。

3.3 常用命令

3.3.1 查看系统版本

┌──(root

Volatility内存取证使用相关推荐

  1. 浅析Volatility内存取证

    内存取证 Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成命令行操作,支持各种操作系统 Volatility是一款开源内存取证框架 ...

  2. volatility内存取证学习,美亚杯比赛版,密码+注册表

    内存镜像主要是 windows,linux可能考 工具主要是volatility 有很多工具软件 拿到内存后,格式很多,mem,emp后缀名不一样,不影响解析,第一步: 要知道内存镜像的架构,知道内存 ...

  3. 内存取证——volatility命令

    文章目录 前言 常用命令 0x01:查看镜像系统 0x02:列举进程 0x03:列举注册表 0x04:获取浏览器浏览历史 0x05:扫描文件 0x06:列举用户及密码 0x07:获取屏幕截图 0x08 ...

  4. 内存取证常见例题思路方法-volatility (没有最全 只有更全)

    目录 1.从内存文件中获取到用户hacker 的密码并且破解密码,将破解后的密码作为 Flag值提交; 2.获取当前系统的主机名,将主机名作为Flag值提交; 3.获取当前系统浏览器搜索过的关键词,作 ...

  5. 内存取证神器Volatility常用指令大全

    内存取证神器Volatility常用指令大全 具体指令开头部分根据Volatility版本做修改即可 查找文件 volatility -f 19.mem --profile=Win7SP1x86_23 ...

  6. 利用Volatility进行Windows内存取证分析(一):初体验

    简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆 ...

  7. MISC之内存取证_Kali环境下使用volatility

    文章目录 前言 一.安装volatility及相关依赖文件 二.例题 1.memory.raw 2.Cookie.raw 3.forensics.raw 4.disk.img 4.memory_5 前 ...

  8. Volatility 内存数字取证方法

    计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是那种取证方式,都应尽量避免破环犯罪现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作,这里将研究内 ...

  9. linux 内存取证_内存取证工具-volatility、foremost

    内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...

  10. 内存取证工具——volatility 常用命令

    点击可跳转 前言 正文 猜测镜像系统 调出shell窗口 列举进程 将内存中的某个进程保存出来 列举缓存在内存的注册表 列出SAM表中的用户 获取最后登录系统的用户 获取内存中正运行的程序 列举时间线 ...

最新文章

  1. Only fullscreen opaque activities can request orientation
  2. 数据通信技术(十:OSPF特殊区域TOTALLY STUB配置(ZTE))
  3. C++ __gnu_pbds(平板电视)超详细教程(C++内置的平衡树,字典树,hash)
  4. js之数组,对象,类数组对象
  5. 色彩为王-CLO带用户发现魅力投影的精彩
  6. #10017 「一本通 1.2 练习 4」传送带+三分套三分
  7. deepin tim(wine)无法安装_浅析国产操作系统深度deepin
  8. 语句拼接_Linux 进阶语句
  9. Nemo(Nightwish乐队)
  10. [CF671E] Organizing a Race
  11. 英伟达推出全新DPU处理器 透露未来三年DPU发展路线图
  12. 32位汇编寄存器含义解释
  13. Ubuntu 16.10安装之后必须做的16 件事
  14. 挑战程序设计竞赛 练习日记
  15. 服务器故障与主板维修,服务器主板故障
  16. 冷山的博客思听有声书摘下载索引页
  17. 如何写一篇五彩斑斓的博客.append(可爱)
  18. C语言 水仙花数两种算法
  19. android 水滴动画效果图,Android控件实现水滴效果
  20. Android Studio类微信界面之RecyclerView设计

热门文章

  1. “国六”新要求——基于OBD系统的量产车评估测试 (PVE)
  2. 基于嵌入式技术的智能灌溉系统设计与实现
  3. lab2 binary bomb 详解
  4. layim php,Workerman+LayIM+ThinkPHP5的webIM,即时通讯系统 – ThinkPHP框架
  5. 使用ps命令结束相应进程
  6. 登陆服务器时显示安全登陆,怎么登陆服务器,都有哪些安全问题?
  7. 独孤木专栏Delayed Project(中)
  8. 在 CentOS 上构建无线网络测试环境
  9. 程序员须学计算机语言,新手程序员需要学什么编程语言
  10. 红色警戒2009java_命令与征服-红色警戒