apt-get
install volatility
檢測目標系統資訊
volatility -f win7.raw imageinfo
檢視執行的程序資訊
volatility -f win7.raw --profile=win7spix64 pslist
3.檢視檔案列表
volatility -f win7.raw --profile=win7spix64 filescan |
grep txt
volatility -f win7.raw --profile=win7spix64 dumpfile -q 0x000007 -d dir
#dir你儲存的路徑
5.提取系統的賬號密碼
volatility -f win7.raw --profile=win7spix64 hashdump
6.檢視網路通訊連線
volatility -f win7.raw --profile=win7spix64 netscan |
grep established
7.檢視cmd歷史記錄
volatility -f win7.raw --profile=win7spix64 cmdscan
8.匯出nc程序傳輸的檔案
volatility -f win7.raw --profile=win7spix64 memdump -p 352 -d dir
# 352為nc的程序號 dir 為儲存的路徑
9.分割dmp檔案
foremost 352.dmp
volatility記憶體取證學習
linux環境 apt get install volatility各種依賴的安裝,視情況安裝 distorm3 牛逼的反編譯庫 pip install distorm3 yara 惡意軟體分類工具 pip install yara pycrypto 加密工具集 pip install pycryp...
記憶體取證 檔案
文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。step1 常規操作,先讀取記憶體型別 step2 可以得到profile型別 winxpsp2x86 f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad程序。step3 昨天閱讀幫助,今天又讀了...
簡單的記憶體取證介紹
定義 通常指對計算機及相關智慧型裝置執行時的物理記憶體中儲存的臨時資料進行獲取與分析,提取有價值的資料。記憶體是作業系統及各種軟體交換資料的區域,資料易丟失 volatile 通常在關機後資料很快就消失。是指利用將記憶體程序寫入映象檔案,通過映象檔案檢視之前記憶體程序的一些資訊。工具介紹 volat...