linux環境
apt-get install volatility各種依賴的安裝,(視情況安裝)
#distorm3:牛逼的反編譯庫pip install distorm3
#yara:惡意軟體分類工具
pip install yara
#pycrypto:加密工具集
pip install pycrypto
#pil:處理庫
pip install pil
#openpyxl:讀寫excel檔案
pip install openpyxl
#ujson:json解析
pip install ujson
windows環境記憶體檔案準備:
使用工具dumpit獲取記憶體檔案 字尾名一般為 .raw .vmem .img
命令列使用:
以省賽的一道記憶體取證題目為例簡單介紹其使用
題目為:你熟悉瀏覽器嗎
提取碼:vj8x
使用 imageinfo 外掛程式獲取記憶體檔案基本資訊,分析出是哪個作業系統
volatility.exe imageinfo -f browser.raw可以看到可能的作業系統為:suggested profile(s) : win7sp1x64, win7sp0x64, win2008r2sp0x64, win2008r2sp1x64_23418, win2008r2sp1x64, win7sp1x64_23418這裡是為了獲取profile的型別,因為不同的作業系統結構不一樣,所以後續需要使用 --profile=來指定。imageinfo會自動猜解可能的系統型別,一般情況下第乙個是正確的。
列出所有程序,指定作業系統為 win7sp1x64
volatility.exe -f browser.raw --profile=win7sp1x64 pslist題目裡提到了瀏覽器和cookie,很自然想到瀏覽器程序發現谷歌瀏覽器程序
在cmd下使用find查詢所有谷歌瀏覽器程序
接著把每乙個谷歌瀏覽器程序的資料儲存為dmp格式的檔案(這裡的pid需要自己指定
volatility.exe -f browser.raw --profile=win7sp1x64 memdump -p -d ./如:最後匯出為:
使用010editer查詢flag逐一篩選
在2608.dmp檔案中找到flag
volatility 記憶體取證的簡單用法
apt get install volatility檢測目標系統資訊 volatility f win7.raw imageinfo檢視執行的程序資訊 volatility f win7.raw profile win7spix64 pslist3.檢視檔案列表 volatility f win7....
記憶體取證 檔案
文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。step1 常規操作,先讀取記憶體型別 step2 可以得到profile型別 winxpsp2x86 f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad程序。step3 昨天閱讀幫助,今天又讀了...
記憶體取證 Linux硬碟和記憶體映象取證
在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將linux系統硬碟和記憶體映象資料給winhex等進行分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成該工作。一台被映象取證的電腦執行的linux系統 一台電腦執行的windows系統 兩台電腦...