記憶體取證 檔案

2021-08-10 08:26:46 字數 747 閱讀 5252

文接上文,前一篇關於記憶體取證讀取程序。

這篇總結一下,記憶體取證讀取檔案。

step1:常規操作,先讀取記憶體型別:

step2:可以得到profile型別 winxpsp2x86 -f 指定檔案。看程序?還像上一題?不存在的!

出來很多檔案,但是沒有notepad程序。

step3:昨天閱讀幫助,今天又讀了一遍,發現我們除了程序,還可以檢視檔案,

命令:volatility -f 2.raw pslist --profile=winxpsp2x86

發現檔案很多,又因為提示說:在flag.txt裡,所以grep flag.txt

果然有收穫!

step4:下面就是讀這個檔案唄!問題來了,又不是在我們電腦上的檔案,怎麼讀?看了強哥的部落格,明白了!

dumpfile命令!

step5 :這個檔案已經儲存到我的機器上,直接cat,就得到flag了!

volatility記憶體取證學習

linux環境 apt get install volatility各種依賴的安裝,視情況安裝 distorm3 牛逼的反編譯庫 pip install distorm3 yara 惡意軟體分類工具 pip install yara pycrypto 加密工具集 pip install pycryp...

記憶體取證 Linux硬碟和記憶體映象取證

在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將linux系統硬碟和記憶體映象資料給winhex等進行分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成該工作。一台被映象取證的電腦執行的linux系統 一台電腦執行的windows系統 兩台電腦...

記憶體取證 Macosx硬碟和記憶體映象取證

macosx硬碟和記憶體映象取證 在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將macosx系統硬碟和記憶體映象資料給winhex等分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成macosx硬碟資料映象取證。一台被映象取證的mac電腦執行...