在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將linux系統硬碟和記憶體映象資料給winhex等進行分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成該工作。一台被映象取證的電腦執行的linux系統
一台電腦執行的windows系統
兩台電腦要能通過網路通訊,並且最好是有線千m網路,因為linux系統的硬碟資料,是通過網路傳輸到windows系統的虛擬磁碟上,所以網路速度至關重要。
rfsd主頁:
執行如下命令:
wget -o -|sh -s /tmp/rfsd
或使用curl
curl -o -|sh -s /tmp/rfsd
命令解釋:假定安裝/tmp/rfsd目錄,由於要讀取硬碟資料,這裡可能會要求輸入root密碼。
如果需要提取記憶體映象 cd pmem 編譯並載入驅動,如下:
cd pmem
make pmem
sudo insmod ./pmem.ko
防火牆配置,預設情況下,指令碼自動配置了系統防火牆,放行了使用的埠,如果使用了其它防火牆,請手動放行埠,6688為rfp服務埠,必須放行 ,6686為rfps服務埠 和 6680為web除錯和配置埠,根據需要放行。
rfdk主頁:
在windows上執行rfdk-gui,新建客戶端連線如下圖:
雙擊紅圈/dev/sda,會彈出掛載磁碟配置對話方塊,預設唯讀,確定後就完成了磁碟掛載。
雙擊紅圈 /dev/pmem,完成對linux物理記憶體掛載為本地磁碟,然後可以使用valgrind等工具,完成對記憶體取證等操作。
注意:請確保網路正常,及rfsd正常執行,如果網路斷了或rfsd異常關閉,虛擬磁碟將自動消失。
記憶體取證 Macosx硬碟和記憶體映象取證
macosx硬碟和記憶體映象取證 在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將macosx系統硬碟和記憶體映象資料給winhex等分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成macosx硬碟資料映象取證。一台被映象取證的mac電腦執行...
記憶體取證 檔案
文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。step1 常規操作,先讀取記憶體型別 step2 可以得到profile型別 winxpsp2x86 f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad程序。step3 昨天閱讀幫助,今天又讀了...
volatility記憶體取證學習
linux環境 apt get install volatility各種依賴的安裝,視情況安裝 distorm3 牛逼的反編譯庫 pip install distorm3 yara 惡意軟體分類工具 pip install yara pycrypto 加密工具集 pip install pycryp...