内存取证
相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件
常用命令
在kali下用工具volatility,以湖湘杯的文件men.raw为例
-
查看系统信息
volatility -f mem.raw imageinfo
如下显示的系统都有可能,可以一个个的试试 -
查看运行程序列表
volatility -f mem.raw --profile=Win7SP1x64 pslist
-
查看文件
volatility -f mem.raw --profile=Win7SP1x64 filescan
一般文件会很多,不易查看,用grep命令过滤
volatility -f mem.raw --profile=Win7SP1x64 filescan |grep txt