Linux 内存取证之文件系统取证(Volatility取证)

最新推荐文章于 2024-02-01 14:03:13 发布
VIP文章 最新推荐文章于 2024-02-01 14:03:13 发布
阅读量3k 收藏 2
点赞数 2
分类专栏: linux 恶意代码取证 文章标签: Linux volatility
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NFMSR/article/details/81563127
版权
  1. File Systems
    1. 知识点
      1. USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件
      2. Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件
        1. ext3/4,Linux系统中最常见的文件系统格式
        2. sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。
        3. proc,一个伪文件系统,通常挂载在/proc/文件夹下,保存一些运行的进程,激活的网络连接,内核加载模块,也包含一些内存管理的配置。
        4. tmpfs,一个只存在内存里的文件系统,通常使用在/tmp和/dev/shm文件夹下。
        5. devpts,一个为了伪终端存在的挂载点,一个伪文件系统,通过SSH远程连接和命令行模式时会产生伪终端。
        6. devtmpfs,一个伪文件系统,在/dev/文件夹下用来管理文件和目录
        7. cifs,用来挂载远程SMB的共享,当一个Linux系统想要去挂载远程Windows’系统的文件共享时或者NAS服务启动时可以看到。
      3. Mount指令显示结果中个参数含义
        1. Atime/noatime:决定是否文件的访问时间可以更新,如果访问时间没有被设置,将很大的影响你决定哪个那个文件攻击者访问过。
        2. Diratime/nodiratime,决定是否文件夹的访问时间可以更新
        3. Relatime/norelatime,更新访问时间仅当访问时间比最后一个修改时间还要早时,在内核版本2.6.3*之后,当访问时间早于24小时之后,任何情况下都会进行更
最低0.47元/天 解锁文章
NFMSR
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
内存取证 volatility
07-12
内存取证 volatility
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
内存取证 | Volatility使用手册
最新发布
hackzkaq的博客
02-01 495
镜像文件。
第二届网刃杯MISC不要相信你所看到的-WP(volatility的使用)
cottonrose的博客
05-06 217
第二届网刃杯misc—不要相信你所看到的-wp(内存取证和流量分析、volatility的使用)
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 5万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
剖析:一次***Linux服务器的事件记录
weixin_33742618的博客
01-01 317
剖析:一次***Linux服务器的事件记录Rem1x @ 系统安全 2013-12-22 共 6978 人围观,发现 6 个不明物体 +10收藏该文针对此PHP漏洞的尝试,ColdFusion,内容管理系统存在此漏洞是很常见的。在某些情况下,特定的***可能会成功,对高价值的服务器,会导致非常显著的数据泄漏。在其他情况下,***者将会大规模的操控被感染的主机。最近,我注意到多...
Linux命令之查找文件find
二木成林
05-26 3万+
`find` 命令可以在目录层次结构中搜索符合指定条件的文件或目录,并且可以它们执行指定的操作。而搜索条件可以是文件权限、文件类型、日期、大小等。
volatility命令使用 misc部分取证解题(部分内存取证
(●'◡'●)
07-13 3520
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取 将内存中的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
kali 安装取证工具volatility
SCP000111的博客
07-11 3133
计算机取证 volatility
关于volatility的使用体会
王陈锋的博客
10-01 745
volatility的使用基本流程
第二周——学习内存取证神器volatility的使用
weixin_43721828的博客
03-18 2186
第二周——学习内存取证神器volatility的使用 volatility -f mem.raw imageinfo#这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等 第一个就是最有可能的镜像文件的版本,最可能是Win7SP1x86_23418 Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search...
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility linux 计算机取证
07-11
Linux计算机取证工具volatility资源,kali可用 计算机取证工具 volatility 资源以及安装说明
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
Ubuntu 17.04下安装64位谷歌Chrome浏览器
NFMSR的博客
10-25 9283
1.进入 Ubuntu 16.04 桌面,按下 Ctrl + Alt + t 键盘组合键,启动终端。 也可以按下 Win 键(或叫 Super 键),在 Dash 的搜索框中输入 terminal 或“终端”字样,Dash 即返回终端的结果,回车即可启动。   2.在终端中,输入以下命令: sudo wget http://www.linuxidc.com/files/repo/googl
Linux 内存取证 之进程空间取证Volatility取证
NFMSR的博客
08-10 2892
进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat /proc/&lt;pid&gt;/maps...
Ubuntu17.04下安装OpenCV3.2.0
NFMSR的博客
11-24 1943
Ubuntu17.04下安装OpenCV3.2.0 安装官方给出的依赖包 1. sudo apt-get install build-essential 2. sudo apt-get install cmake git libgtk2.0-dev pkg-config libavcodec-dev libavformat-dev libswscale-dev 3. sudo apt-ge
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,需要了解Windows 2003操作系统的内存管理机制和数据结构。这样可以更好地理解内存中存储的数据的结构和格式,有助于提取和解释相关证据。例如,Windows 2003使用的是物理内存和虚拟内存的管理方式,需要理解这两种内存的分配与释放机制。 此外,还需要注意在进行内存取证时可能遇到的一些挑战和限制。例如,Windows 2003在32位系统上的内存限制为4GB,如果目标系统中的内存大于4GB,可能需要采取特殊的处理方式。另外,操作系统的版本和补丁等也会影响内存数据的分析和提取。 最后,进行内存取证时需要保持数据的完整性和可靠性,确保所提取的证据在法庭上具有可信度。因此,需要采用专业的取证工具和方法,并遵循取证规范和程序进行操作,记录下相关的过程和操作步骤。 综上所述,Windows 2003内存取证是通过分析和提取内存数据来获取相关证据的过程,需要借助专门的工具和技术,同时需要了解操作系统的内存管理机制和数据结构,保证数据的完整性和可靠性。这一过程在数字取证领域具有重要的应用价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值