macosx硬碟和記憶體映象取證
在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將macosx系統硬碟和記憶體映象資料給winhex等分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成macosx硬碟資料映象取證。一台被映象取證的mac電腦執行的macosx系統
一台電腦執行的windows系統
兩台電腦要能通過網路通訊,並且最好是有線千m網路,因為mac系統的硬碟資料,是通過網路傳輸到windows系統的虛擬磁碟上,所以網路速度至關重要。
如果不需要讀取mac系統分割槽,請跳過本設定。在終端中輸入csrutil status,就可以看到是enabled還是disabled。只有是disabled才可以讀取系統分割槽。
執行以下步驟關閉sip:
1、重啟mac,按住cmd+r直到螢幕上出現蘋果的標誌和進度條,進入recovery模式;
2 、在螢幕最上方的工具欄找到實用工具(左數第3個),開啟終端,輸入:csrutil disable;
3 、關掉終端,重啟mac;
注:如果要開啟sip,與關閉的步驟類似,只是在終端中輸入csrutil enable
安裝rfsd
rfsd主頁:
執行如下命令:
wget -o -|sh -s /tmp/rfsd
或使用curl
curl -o -|sh -s /tmp/rfsd
命令解釋:假定安裝/tmp/rfsd目錄,由於要讀取硬碟資料,這裡可能會要求輸入root密碼。
注:防火牆配置,預設情況下,指令碼自動配置了系統防火牆,放行了使用的埠,如果使用了其它防火牆,請手動放行埠,6688為rfp服務埠,必須放行 ,6686為rfps服務埠 和 6680為web除錯和配置埠,根據需要放行。
rfdk主頁:
在windows上執行rfdk-gui,新建客戶端連線如下圖:
雙擊紅圈/dev/disk0,會彈出掛載磁碟配置對話方塊,預設唯讀,確定後就完成了磁碟掛載。然後就可以使用winhex等工具,開啟.physicaldrive2,完成映象取證等工作。
雙擊紅圈/dev/pmem,完成對物理記憶體的掛載,然後可以使用valgrind等工具,完成對記憶體取證等操作。
注意:請確保網路正常,及rfsd正常執行,如果網路斷了或rfsd異常關閉,虛擬磁碟將自動消失。
記憶體取證 Linux硬碟和記憶體映象取證
在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將linux系統硬碟和記憶體映象資料給winhex等進行分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成該工作。一台被映象取證的電腦執行的linux系統 一台電腦執行的windows系統 兩台電腦...
記憶體取證 檔案
文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。step1 常規操作,先讀取記憶體型別 step2 可以得到profile型別 winxpsp2x86 f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad程序。step3 昨天閱讀幫助,今天又讀了...
volatility記憶體取證學習
linux環境 apt get install volatility各種依賴的安裝,視情況安裝 distorm3 牛逼的反編譯庫 pip install distorm3 yara 惡意軟體分類工具 pip install yara pycrypto 加密工具集 pip install pycryp...