任務一獲取admin使用者密碼是多少 ?
volatility -f 檔名
任務(二)
獲ip和主機名是什麼?
volatility -f 檔名
volatility -f 檔名
//0xfffff8a000024010 system的虛擬位址
任務(三)獲取桌面上的 flag.txt中的檔案內容是什麼
任務(四)
伺服器中存在乙個挖礦病毒
礦池位址是
volatility -f worldskills3.vmem --profile=win2008r2sp0x64 netscan
任務(五)惡意**在系統中註冊了服務
服務名是什麼?
volatility -f test.vmem --profile=win7sp1x64 svcscan
(注:使用
svcscan
外掛程式命令可列印出當前目標機器註冊服務資訊
任務(六)
獲取惡意**的程序名pid。
loader.exe父程序建立
svchost.exe
子程序flag
任務(七)
病毒在自我刪除時
執行的命令是什麼?(病毒進入系統後會刪除原始檔案,請獲取檔案刪除時執行的命令)
標準命令列:cmd.exe /c @ping -n 15 127.0.0.1&del path/file> nul
記憶體取證 檔案
文接上文,前一篇關於記憶體取證讀取程序。這篇總結一下,記憶體取證讀取檔案。step1 常規操作,先讀取記憶體型別 step2 可以得到profile型別 winxpsp2x86 f 指定檔案。看程序?還像上一題?不存在的!出來很多檔案,但是沒有notepad程序。step3 昨天閱讀幫助,今天又讀了...
volatility記憶體取證學習
linux環境 apt get install volatility各種依賴的安裝,視情況安裝 distorm3 牛逼的反編譯庫 pip install distorm3 yara 惡意軟體分類工具 pip install yara pycrypto 加密工具集 pip install pycryp...
記憶體取證 Linux硬碟和記憶體映象取證
在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將linux系統硬碟和記憶體映象資料給winhex等進行分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成該工作。一台被映象取證的電腦執行的linux系統 一台電腦執行的windows系統 兩台電腦...