个人计算机内存分析

最新推荐文章于 2023-03-24 22:57:39 发布
最新推荐文章于 2023-03-24 22:57:39 发布
阅读量869 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kiaeee/article/details/102879454
版权
本文详述了计算机内存的分析方法,包括如何生成内存dump文件,使用第三方工具如FTK Imager抓取内存,以及在动态内存中提取加密密钥以解锁全盘加密。此外,还探讨了在面对锁屏、管理员权限等问题时如何固定和分析内存,以及TrueCrypt和VeraCrypt的加密盘取证策略。
摘要由CSDN通过智能技术生成

本文参考各位前辈的优秀原创,仅为整理学习使用。

一般针对物证的提取可以分为两种:现场固定提取、封装打包后带回鉴定处固定提取。
易失性的证据,自然属于必须在现场立刻固定提取的一类,毕竟是”易失性“的,一断电或者重启数据就丢失了,或者被覆盖也没了。
在这里插入图片描述

内存

动态内存不仅指电脑RAM内存,也可以指代许多其他存有动态性易失数据的设备内存,如联网的路由器等。

随机存储器(Random Access Memory)可读可写,断电易失。
通常情况下,存储在内存中的证据不会写入硬盘驱动器,并且可以在pagefile.syshiberfil.sys中找到。

在内存中包含但不限于以下内容:

  • 进程列表

  • 已经执行的命令行

  • 剪切板记录

  • 网络连接

  • BitLocker/SafeBoot/PGP/TrueCrypt/ VeraCrypt等全盘加密或加密容器的恢复密钥

  • 网络账户密码(如邮件、社交媒体、云存储等)

  • 漏洞利用相关信息

  • $MFT记录(主文件表Master File Table)

  • 部分注册表记录&#

最低0.47元/天 解锁文章
Kiaeee
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最强电脑文件占用存储分析工具.zip
05-07
SpaceSniffe最强电脑文件占用存储分析工具
计算机存储结构分析
的博客
04-06 4850
计算机存储结构分析图注:此图及其重要,它可以帮你很清晰的理解程序数据执行的流程,以及CPU的调度机制。一、寄存器寄存器:是中央处理器(CPU)中的一部分,有限存贮容量的高速存贮部件(空间比较小在kb级别),用来暂存指令、数据和地址。CPU对内存中的数据进行处理时,往往先把数据取到寄存器中,而后再作处理,加快直接同内存读取指令和读写数据的速度。二、高速缓冲存储器高速缓冲存储器:是存在于内存与CPU之间
计算机内存
yubinquanjxd的博客
10-29 575
ROM:只读的一种内存内存工作原理:第一个银角控制电源信号,其他的为地址信号。 地址信号:A0~A9,10个地址; 从0000000000~1111111111 = 1024个地址 数据信号:D0~D7,8个数据; 8bit = 1byte;1024 * 1byte = 1KB char = 1byte;int = 4 byte 内存的逻辑结构: 数组 栈与队列 链表 二叉树 ...
深入浅析内存
MysticalYcc的博客
08-21 381
title: 深入浅析内存 categories: java tags: [内存,java] description: 最近在看一本<<架构解密:从分布式到微服务>>中看到了有关内存的相关知识,自己这方面比较薄弱,就想着记录下来。书本地址:www.zhihu.com/pub/book/119572875 深入浅析内存 除了CPU,内存大概是最重要的计算资源了。基本称为分...
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
个人计算机组成原理笔记
03-19
### 个人计算机组成原理知识点详解 #### 一、引言 个人计算机的组成原理是计算机科学中的基础课程之一,它主要研究计算机硬件系统的结构、工作原理及其设计方法。本章节将围绕“个人计算机组成原理”这一主题进行...
计算机系统故障分析与处理.doc
05-06
### 计算机系统故障分析与处理 #### 摘要 随着计算机技术的迅猛发展,各类计算机系统在人们的工作和生活中扮演着越来越重要的角色。然而,在享受便捷的同时,计算机系统也会遭遇各种故障,影响正常运行。本文旨在...
个人计算机学习总结.doc
12-06
个人计算机学习总结】 计算机,作为一种强大的科技工具,已经深深地融入了我们的日常生活和工作中,从科研计算到日常娱乐,从工业生产到社交沟通,它的身影无处不在。计算机的快速发展推动了硬件和软件的不断创新...
个人超级计算机.pdf
10-06
标题中的“个人超级计算机”指的是使用个人计算机技术构建的高性能计算系统,这些系统通常由多台个人电脑(PC)通过高速网络连接组成集群,形成一个能够执行大规模计算任务的超级计算机。这种技术允许用户以相对较低...
计算机病毒结构和分析培训课件.ppt
12-06
本课程主要关注计算机病毒的结构、工作机制及其分析。 首先,计算机病毒通常由四个核心模块构成:感染模块、触发模块、破坏模块(也称为表现模块)和引导模块(主控模块)。这些模块共同协作,使得病毒能够在计算机...
内存镜像工具MAGNET
07-13
电子数据取证人员在取证现场需要的一种工具,必备的内存镜像工具,操作简单,支持分卷,超级好用!RAM CAPTURE V1.2.0
内存取证工具:MAGNET RAM Capture(v1.20)
12-01
内存取证工具-MAGNET RAM Capture,是由于取证公司MAGNET开发一款免费制作内存镜像的小工具,体积小、还可以对内存镜像设置分段。
windows内存密码获取mimikatz_trunk
04-17
第一条:privilege::debug //提升权限 第二条:sekurlsa::logonpasswords https://github.com/gentilkiwi/mimikatz/releases/tag/2.1.1-20180325
内存分析与硬件获取
Cherish
10-28 292
(整理于网上资料与视频)一.资源打包 图片是被放到Images.xcassets里面 1.部署版本在>=iOS8的时候,打包的资源包中的图片会被放到Assets.car.图片有被压缩 2.部署版本在< iOS8的时候,打包的资源包中的图片会被放在MainBudnle里面.图片没有被压缩 3.图片是被直接拖入项目当中,无论部署版本是多少,都会被放到MainBudnle里面.图片没有被压缩 注
Misc_加密磁盘文件破解
M3ng@L的博客
01-26 3532
Misc_加密磁盘文件破解 使用软件:Elcomsoft Forensic Disk Decryptor,VeraCrypt Elcomsoft Forensic Disk Decryptor(EFDD) 下载链接:Elcomsoft Forensic Disk Decryptor(EFDD解密工具) v1.0.124 注册版_sugizo_新浪博客 (sina.com.cn) 使用方法: 以"TrueCrypt(Container)"方式为例 已知加密磁盘文件"VOL",以及加密进程的原始数据文件"336
利用Volatility进行Windows内存取证分析(一):初体验
Fly_鹏程万里
05-16 9113
简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,...
微软分享修复WinRE BitLocker绕过漏洞的脚本
热门推荐
网络研究观
03-24 1万+
微软发布了一个脚本,可以更轻松地修补 Windows 恢复环境 (WinRE) 中的 BitLocker 绕过安全漏洞。
关于内存的简单讲解
爱编程的晖哥的博客
01-29 1431
1.内存的分区: 内存:物理内存,虚拟内存 物理内存:实实在在存在的存储设备 虚拟内存:操作系统虚拟出来的内存 操作系统会在物理内存和虚拟内存中间做映射 在32位操作系统下,每个进程的寻址范围是4G 也就是0x00 00 00 00~0xff ff ff ff 在写应用程序的时候,我们看到的都是虚拟地址 在32位操作系统中,虚拟内存被分为两个部分,3G的用户空间和1G内存空间,其中用户空间是当前进程所私有的,内核空间,是一个系统中所有的进程所公有的 2.在运行程序的时候,操作系统会将虚拟内
大学生创业计划书(30)-两份资料.doc
最新发布
08-20
大学生创业计划书(30)-两份资料.doc
现代个人计算机构成解析:CPU、内存与存储
"现代个人计算机包括主机、显示器、键盘鼠标、硬盘、软盘、光盘驱动器等组件。CPU是计算机的核心,由控制器、运算器和其他电路构成,主要性能指标包括主频和字长。内存储器分为RAM和ROM,前者可读写,后者只能读取。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值