記憶體取證 Macosx硬碟和記憶體映象取證

2021-10-25 12:52:59 字數 1510 閱讀 1906

macosx硬碟和記憶體映象取證

在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將macosx系統硬碟和記憶體映象資料給winhex等分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成macosx硬碟資料映象取證。
一台被映象取證的mac電腦執行的macosx系統

一台電腦執行的windows系統

兩台電腦要能通過網路通訊,並且最好是有線千m網路,因為mac系統的硬碟資料,是通過網路傳輸到windows系統的虛擬磁碟上,所以網路速度至關重要。

如果不需要讀取mac系統分割槽,請跳過本設定。在終端中輸入csrutil status,就可以看到是enabled還是disabled。只有是disabled才可以讀取系統分割槽。

執行以下步驟關閉sip:

1、重啟mac,按住cmd+r直到螢幕上出現蘋果的標誌和進度條,進入recovery模式;

2 、在螢幕最上方的工具欄找到實用工具(左數第3個),開啟終端,輸入:csrutil disable;

3 、關掉終端,重啟mac;

注:如果要開啟sip,與關閉的步驟類似,只是在終端中輸入csrutil enable

安裝rfsd

rfsd主頁:

執行如下命令:

wget  -o -|sh -s /tmp/rfsd
或使用curl

curl  -o -|sh -s /tmp/rfsd
命令解釋:假定安裝/tmp/rfsd目錄,由於要讀取硬碟資料,這裡可能會要求輸入root密碼。

注:防火牆配置,預設情況下,指令碼自動配置了系統防火牆,放行了使用的埠,如果使用了其它防火牆,請手動放行埠,6688為rfp服務埠,必須放行 ,6686為rfps服務埠 和 6680為web除錯和配置埠,根據需要放行。

rfdk主頁:

在windows上執行rfdk-gui,新建客戶端連線如下圖:

雙擊紅圈/dev/disk0,會彈出掛載磁碟配置對話方塊,預設唯讀,確定後就完成了磁碟掛載。然後就可以使用winhex等工具,開啟.physicaldrive2,完成映象取證等工作。

雙擊紅圈/dev/pmem,完成對物理記憶體的掛載,然後可以使用valgrind等工具,完成對記憶體取證等操作。

注意:請確保網路正常,及rfsd正常執行,如果網路斷了或rfsd異常關閉,虛擬磁碟將自動消失。

記憶體取證 Linux硬碟和記憶體映象取證

在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將linux系統硬碟和記憶體映象資料給winhex等進行分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成該工作。一台被映象取證的電腦執行的linux系統 一台電腦執行的windows系統 兩台電腦...

記憶體取證 檔案

文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。step1 常規操作,先讀取記憶體型別 step2 可以得到profile型別 winxpsp2x86 f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad程序。step3 昨天閱讀幫助,今天又讀了...

volatility記憶體取證學習

linux環境 apt get install volatility各種依賴的安裝,視情況安裝 distorm3 牛逼的反編譯庫 pip install distorm3 yara 惡意軟體分類工具 pip install yara pycrypto 加密工具集 pip install pycryp...