MISC之内存取证_Kali环境下使用volatility

最新推荐文章于 2024-05-27 16:22:33 发布
最新推荐文章于 2024-05-27 16:22:33 发布
阅读量5.4k 收藏 55
点赞数 6
分类专栏: CTF 文章标签: linux 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dbsod007520/article/details/119768388
版权

文章目录

前言

1、本文所需工具及题目:点击下载
2、所作操作均使用root用户执行

一、安装volatility及相关依赖文件

volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。
1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master
2、将pac.zip文件中的内容分别复制到/usr/local/lib/python2.7/dist-packages/目录下
3、将题目解压后同样放置于home/root/volatility-master路径下

二、例题

1、memory.raw

1、执行如下命令,查看系统版本信息。重点看系统的版本,最有可能是WindowsXP

python2 vol.py -f memory.raw imageinfo

示例:
在这里插入图片描述
2、查看系统运行的进程

python2 vol.py -f memory.raw --profile=WinXPSP2x86 pslist      #列出进程
python2 vol.py -f memory.raw --profile=WinXPSP2x86 psscan      #列出进程

示例:
在这里插入图片描述
3、查看CMD进程,看系统调用了哪些进程

python2 vol.py -f memory.raw --profile=WinXPSP2x86 cmdscan     #查看cmd命令历史
python2 vol.py -f memory.raw --profile=WinXPSP2x86 cmdline     #查看cmd命令历史
python2 vol.py -f memory.raw --profile=WinXPSP2x86 consoles    #查看cmd命令历史

示例:可以看到一些敏感信息
在这里插入图片描述
4、查看ie浏览器历史记录,可以找到一些蛛丝马迹

python2 vol.py -f memory.raw --profile=WinXPSP2x86 iehistory

示例:

最低0.47元/天 解锁文章
张保庆INK
关注
  • 6
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kali环境运行volatility分析android内存文件,缺profile,如何解决??
**My Coding Family**
05-21 870
ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏「Bug调优」,都是实战中碰到的Bug,希望对你有所帮助。到此,咱们下期拜拜。码字不易,如果这篇文章对你有所帮助,帮忙给bugj菌来个,您的支持就是我坚持写作分享知识点传播技术的最大动力。「猿圈奇妙屋」;
Kali LinuxVolatility2.6常见问题疑难杂症-内存取证信息安全管理与评估
Geek极安云科-致力于网络安全事业
11-24 3817
Kali LinuxVolatility2.6常见问题疑难杂症-信息安全管理与评估 Volatility为开源项目,旧版本kali不集成此工具,此处用2.6为例,2.6版本是基于python2的环境。 GiitHub地址: 使用python2运行vol.py -f上镜像,发现一堆报错,但是有些功能还是可以正常使用
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证——volatility学习
最新发布
m0_75236662的博客
05-27 657
在做计算机最后两道题目碰到了MP3格式的镜像,分析发现是计算机内存,要进行内存取证。现在内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件通过盘古石比赛了解了内存取证类型的题目,在看别人题解的时候发现volatility为主流分析工具,安装后大致了解了操作流程和功能点。
kali下安装Volatility
苏生要努力
02-19 1309
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。任意目录下执行:vol.py --help(查看帮助),若能正常显示相关信息,不报错,即为安装成功。使用github上的volatility项目进行源代码安装。切换到volatility目录下,并执行安装命令。
内存取证volatility最简安装方法
shshshsh_的博客
11-10 1407
打开解压后的文件,打不开可以在windows下解压之后,在放到kali里面去,当然也可以给他增加权限:chmod +rxw volatility_2.6_lin64_standalone。最后在这里说一下哪个名字可以随便改,但是建议改成和我一样的方便自己和他人使用工具,在这里就三步你就能使用他,还不来试试。给你们看一下,名字随便改,不影响使用。进入目录修改文件名称。
volatility内存取证
yuyu
04-21 1006
本文主要讲述volatility软件的安装与使用
kali安装volatility--内存取证利器
qq_57861415的博客
01-29 1326
最近看到有内存取证的题目,找到个利器。
syncOrderRelation.rar_misc_syncOrderRelation_webservice java dsm
09-19
移动misc平台订购例程
DES.rar_pch.h misc
09-22
DES算法 所有头文件和代码都在里面了
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
pcm_misc.rar_The Given
09-23
NOTE: signed prefix must be given below since the default char is unsigned on some architectures.
Misc_keiluvision3_blink_
09-29
Led blink that named misc
ESP8266-Demos-master.zip_esp8266_esp8266 gen_misc.sh_乐鑫_安信可
09-20
ESP8266代码例程,可以用在乐鑫以及安信可的开发套件。
小白学习,在kali里面用volatility3,一步一步细致操作,解决问题。建议电子取证选手好好看看。
ntrybw的博客
11-08 2857
要是偷懒的话,我就在这里放上v3这个东西的链接吧,哈哈哈,感觉v3也不好找。kali直接去官网下载,还是很好找的。链接:https://pan.baidu.com/s/1IXUBJhdsWBD6Ji1BTwZSoA?然后就顺利安装,打开,把v3拖进去,就变成这样子,对了,可以把镜像也拖进去。cd / . ./ /volatility3 进入文件夹。创建虚拟机的步骤我就跳过,推荐官网下载。有问题直接私信我,我一般会尽快回的。
volatility命令使用 misc部分取证解题(部分内存取证
(●'◡'●)
07-13 3580
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取 将内存中的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
内存取证volatility工具命令详解
Y525698136的博客
01-04 1992
内存取证volatility工具命令详解
linuxmisc使用misc创建字符设备
06-08
Linux 中的 misc 是一种杂项设备类型,它可以用来创建一些没有特定驱动程序的设备文件,例如 /dev/null 和 /dev/random。 要创建一个 misc 设备,可以使用 misc_register() 函数,该函数需要一个 miscdevice 结构体作为参数,其中包含设备的名称、设备号等信息。然后,可以使用 misc_deregister() 函数来注销设备。 下面是一个简单的示例程序,用于创建一个名为 mymiscmisc 设备: ```c #include <linux/module.h> #include <linux/miscdevice.h> static int mymisc_open(struct inode *inode, struct file *file) { printk(KERN_INFO "mymisc: device opened\n"); return 0; } static int mymisc_release(struct inode *inode, struct file *file) { printk(KERN_INFO "mymisc: device closed\n"); return 0; } static const struct file_operations mymisc_fops = { .owner = THIS_MODULE, .open = mymisc_open, .release = mymisc_release, }; static struct miscdevice mymisc_device = { .minor = MISC_DYNAMIC_MINOR, .name = "mymisc", .fops = &mymisc_fops, }; static int __init mymisc_init(void) { int ret; ret = misc_register(&mymisc_device); if (ret) { printk(KERN_ERR "mymisc: unable to register device\n"); return ret; } printk(KERN_INFO "mymisc: device registered\n"); return 0; } static void __exit mymisc_exit(void) { misc_deregister(&mymisc_device); printk(KERN_INFO "mymisc: device unregistered\n"); } module_init(mymisc_init); module_exit(mymisc_exit); MODULE_LICENSE("GPL"); ``` 编译并安装模块后,可以使用以下命令来查看设备文件: ``` $ ls -l /dev/mymisc crw------- 1 root root 10, 58 May 22 15:08 /dev/mymisc ``` 可以使用 cat 命令来测试设备: ``` $ cat /dev/mymisc mymisc: device opened mymisc: device closed ``` 这里的输出是由 mymisc_open() 和 mymisc_release() 函数生成的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值