MoonSols && Volatility 内存取证分析(一.搭建取证环境)

最新推荐文章于 2024-01-04 12:30:00 发布
最新推荐文章于 2024-01-04 12:30:00 发布
阅读量9.7k 收藏 5
点赞数
分类专栏: 恶意软件分析 文章标签: python microsoft 工具 download 服务器 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cqupt_chen/article/details/7771393
版权

MoonSols && Volatility 内存取证分析(一.搭建取证环境)

一.系统内存获取工具

MoonSols windows内存工具箱.

download:http://www.moonsols.com/

1.支持多种哈希算法.

2.包含服务器组件,可以通过网络获取远程服务器的内存转储.

3.支持\Device\PhysicalMemory等三种内存映射方式.

4.能够将内存转储转换为microsoft崩溃转储文件.方便使用调试器分析.

5.能够将休眠文件转换为内存转储.

6.专业版支持脚本编写,体系结构互换等功能.

具体帮助信息如下:


二.内存转储分析工具

Volatility 2.0 基于python的内存分析工具

Volatility 2.0 内部集成了部分插件模块.内置插件模块功能比较单一.

如果需要使用恶意软件分析中使用的插件,到http://code.google.com/p/malwarecookbook/source/browse/trunk/

下载malware.py存放至插件目录即可.(根据最初的错误提示安装yara和distorm)

download:http://code.google.com/p/volatility/downloads/list

volatility-2.0.standalone.zip是使用pyinstaller编译完整的exe文件.内部包含有python运行时核心组件和Volatility模块.

volatility-2.0.win32.exe安装Volatility至python系统目录.

volatility-2.0.zip建议直接使用源码文件.可支持恶意软件分析中提供的插件模块.

tips:需要系统安装python2.6以上版本.使用加密相关模块需要安装pycrypto模块(需要安装cygwin或者Mingw).

      安装Mingw目测是依旧失败,具体错误是无法使用chmod改变一个配置shell脚本的属性.

配置完成后进入Volatility目录使用python vol.py -h可以查看帮助信息和支持的插件列表.


至此,获取内存和分析内存转储的环境已经搭建完毕.


cqupt_chen
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
volatility内存取证软件,可用于windows环境
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
volatility内存取证
wha1e的博客
02-07 8910
取证在CTF中占比越来越大,甚至某些比赛中misc全是取证。在之前的比赛中wha1e表示束手无策很难受,所以乘着实习摸鱼期间学习了一下。
内存取证-volattlity
5L2g556F5ZWl77yf
09-30 5258
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/archive/p/volatility/ 安装: kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v
内存取证volatility工具命令详解
Y525698136的博客
01-04 2474
内存取证volatility工具命令详解
Volatility内存取证使用
qq_42947816的博客
08-05 6109
1.背景 本文主要使用Dumpit及Volatility对计算机进行取证,对内存文件进行分析,获取内存重要信息, 还原攻击。 2.内存镜像Dumpit 2.1 简介 Dumpit是用于生成Windows机器的物理内存转储,可运行在32位/64位系统中,可完美地部署在USB闪存盘上,快速响应事件。 2.2 下载链接 下载链接:https://github.com/thimbleweed/All-In-USB/tree/master/utilities/DumpIt 2.3 Dumpit使用 1.将软件拷贝到需
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility3-develop-内存镜像分析工具
最新发布
06-30
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名...
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
内存取证艺术(英文pdf)
11-07
内存取证提供了尖端技术来帮助调查数字攻击。 内存取证分析计算机内存(RAM)以解决数字犯罪的艺术。 作为最畅销的MalwareAnalyst's Cookbook的后续产品,恶意软件,安全和数字取证领域的专家为您提供了记忆力学的逐步指导 - 现在是数字法医和事件响应领域最受追捧的技能。
FTKImage用户手册
04-29
强大的取证工具,非常适合取证新手。 FTK综合分析软件做为美国AccessData公司的专业电子数据检验工具软件包, 是世界顶级的电子数据检验软件之一,它集成了提取、恢复、挖掘、分析、查找及报告等所有数据检验功能。 FTK综合分析软件进入中国电子数据检验行业已超过十年, 其强大的检验分析功能得到了业内人士的广泛认可。
AccessData_FTK_Imager_3.4.3_x64
12-19
FTK Imager 是免费的镜像工具,功能强大,支持几十种镜像格式,E01、DD、L01、DMG、VMDK、VHD、AD1,使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件,例如直接获取当前系统的注册表文件。另外,此工具完全免费,而且是绿色的,安装后复制安装目录到任意地方都可以直接运行。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility内存取证分析与讲解(持续更新)
qq_49422880的博客
02-28 6551
volatility内存取证分析与讲解0x01 volatility的安装0x02 基本使用0x03 取证实战(持续更新)0x04 总结 0x01 volatility的安装 本人暂时只使用windows下的volatility进行取证,安装方法如下: volatility安装网址 进去之后,找到windows版本然后直接下载即可。 直接解压,就能用。 0x02 基本使用 1.volatility_2.6.exe -f .\Target.vmem imageinfo 查看镜像的基本信息。使用的时候可以将
内存取证volatility及案例演示
m0_46467017的博客
08-27 3040
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。若没有不会安装可以查看这篇文章内存取证-Volatility安装使用以及一些CTF比赛题目。......
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 7326
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
Volatility内存取证:核心命令详解
Volatility是一个开源的内存取证框架,它允许分析师从内存转储中提取关键信息,以协助犯罪调查、安全事件响应和恶意软件分析。以下是一些Volatility的常用命令及其功能: 1. **查看内存镜像信息**: 使用`...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值