記憶體取證 Linux硬碟和記憶體映象取證

2021-10-14 13:43:36 字數 1235 閱讀 9895

在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將linux系統硬碟和記憶體映象資料給winhex等進行分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成該工作。
一台被映象取證的電腦執行的linux系統

一台電腦執行的windows系統

兩台電腦要能通過網路通訊,並且最好是有線千m網路,因為linux系統的硬碟資料,是通過網路傳輸到windows系統的虛擬磁碟上,所以網路速度至關重要。

rfsd主頁:

執行如下命令:

wget  -o -|sh -s /tmp/rfsd
或使用curl

curl  -o -|sh -s /tmp/rfsd
命令解釋:假定安裝/tmp/rfsd目錄,由於要讀取硬碟資料,這裡可能會要求輸入root密碼。

如果需要提取記憶體映象 cd pmem 編譯並載入驅動,如下:

cd pmem

make pmem

sudo insmod ./pmem.ko

防火牆配置,預設情況下,指令碼自動配置了系統防火牆,放行了使用的埠,如果使用了其它防火牆,請手動放行埠,6688為rfp服務埠,必須放行 ,6686為rfps服務埠 和 6680為web除錯和配置埠,根據需要放行。

rfdk主頁:

在windows上執行rfdk-gui,新建客戶端連線如下圖:

雙擊紅圈/dev/sda,會彈出掛載磁碟配置對話方塊,預設唯讀,確定後就完成了磁碟掛載。

雙擊紅圈 /dev/pmem,完成對linux物理記憶體掛載為本地磁碟,然後可以使用valgrind等工具,完成對記憶體取證等操作。

注意:請確保網路正常,及rfsd正常執行,如果網路斷了或rfsd異常關閉,虛擬磁碟將自動消失。

記憶體取證 Macosx硬碟和記憶體映象取證

macosx硬碟和記憶體映象取證 在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將macosx系統硬碟和記憶體映象資料給winhex等分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成macosx硬碟資料映象取證。一台被映象取證的mac電腦執行...

記憶體取證 檔案

文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。step1 常規操作,先讀取記憶體型別 step2 可以得到profile型別 winxpsp2x86 f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad程序。step3 昨天閱讀幫助,今天又讀了...

volatility記憶體取證學習

linux環境 apt get install volatility各種依賴的安裝,視情況安裝 distorm3 牛逼的反編譯庫 pip install distorm3 yara 惡意軟體分類工具 pip install yara pycrypto 加密工具集 pip install pycryp...