内存取证入门第一题

已于 2023-04-04 17:22:51 修改
阅读量1.3k 收藏 7
点赞数 1
分类专栏: misc 文章标签: 大数据
于 2022-07-02 22:35:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacker_zrq/article/details/125578053
版权

试题链接:链接:https://pan.baidu.com/s/1WwCX7nyK0mnShBtPsf6DSg?pwd=1111 
提取码:1111 
--来自百度网盘超级会员V4的分享

一、volatility分析

volatility这个词很传神,挥发。即便是断电消失的内存数据,我们也能恢复。

 Tips:内存取证的题目特征

  • 取证文件后缀 .raw、.vmem、.img、.vmdk
  • 可疑的进程(notepad,cmd)
  • 和磁盘取证结合起来考察
  • 常见文件后缀dmg,img

VMDK 文件本质上是物理硬盘的虚拟版,也会存在跟物理硬盘的分区和扇区中类似的填充区域,我们可以利用这些填充区域来把我们需要隐藏的数据隐藏到里面去,这样可以避免隐藏的文件增加了 VMDK 文件的大小(如直接附加到文件后端),也可以避免由于 VMDK 文件大小的改变所带来的可能导致的虚拟机错误。而且 VMDK 文件一般比较大,适合用于隐藏大文件

最最最基础的命令格式:
volatility -f [image] ‐-profile=[profile] [plugin] 命令

其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版本, [plugin] 是指使用的插件,其中默认存在一些插件,另外还可以自己下载一些插件扩充


命令详解:https://blog.csdn.net/hacker_zrq/article/details/125578
了解本专栏 订阅专栏 解锁全文 超级会员免费看
ad_m1n
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
内存取证入门第二
admin的博客
07-06 741
目链接。链接:https://pan.baidu.com/s/1bytz9mF_IOBrXY_NYtIgNQ--来自百度网盘超级会员V2的分享。
2020JTWLB-个人CTF-MISC-memory
zippo1234的博客
10-24 935
2020JTWLB-个人CTF-MISC-memorymemory目分析开始1.目2.分析内存(1)查看镜像信息(2)查看进程(3)查找文件(4)把可疑文件dump出来(5)整理下文件(6)分析文件(7)查看剪贴板3.base64替换表解密4.解压zip,get flag结论 每天一,只能多不能少 memory 目分析 1.volatility取证 2.base64换表解密 开始 1.目 下载下来是一个vmem内存文件。 2.分析内存 (1)查看镜像信息 root@kali2019:~/CTF/
中科磐云 内存取证.zip
10-14
磐云内存取证目 2021中职 网络安全 试4
volatility内存取证
最新发布
yuyu
04-21 989
本文主要讲述volatility软件的安装与使用
【镜像取证篇】VMware虚拟机配置文件取证
蘇小沐的电子数据取证博客
11-01 3518
【镜像取证篇】VMware虚拟机配置文件取证 ​ 虚拟机取证中,通常主要关注.log、.vmdk、.vmem三个文件,里面包含虚拟机的大部分资料信息。—【suy】 测试环境 1、VMware® Workstation 16 Pro(V16.1.2 build-17966106) 2、Microsoft windows 11 专业版(V22000.282) 虚拟机挂起状态 虚拟机文件简介 序号 名称 内容 备注 01 .log 虚拟机-调试运行情况的日志记录;如文件创建、USB
内存取证-volatility工具的使用
baynk的博客
05-11 2万+
0x00 volatility介绍 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。 目前已经有一段时
关于虚拟机.vmdk与.ovf 磁盘装载问
qq_44813943的博客
10-18 3556
现在用的比较多的虚拟机创建或者拷贝方式有两种,第一种是iso光盘映像装载,第二种是OVF导入。
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证 volatility
07-12
内存取证 volatility
一个简单且有意思的内存取证 很好玩特别好玩 轻易不建议下载 内存取证B8
01-08
一个简单且有意思的内存取证 很好玩特别好玩 轻易不建议下载 一个简单且有意思的内存取证 很好玩特别好玩 轻易不建议下载 一个简单且有意思的内存取证 很好玩特别好玩 轻易不建议下载 一个简单且有意思的内存取证 很...
内存取证的框架
01-20
该为在内存取证中常用的框架,功能强大,使用该框架分析出电脑有无染上恶意代码或恶意病毒。
网络安全内存取证分析源文件
04-27
网络安全竞赛内存取证分析文件
BMZCTF内存取证三项.zip
10-21
1.小黑写的啥,据说是flag? 2.那么问来了,小白的密码是啥? 3.小黑发送的机密文件里面到底是什么
使用 Linux 工具进行计算机取证
煜铭2011
06-15 8258
使用 Linux 工具进行计算机取证     本文通过介绍 Linux 系统工具(Ftkimage、xmount、Volatility、dd、netcat)来介绍使用计算机取证的方法和步骤。 硬盘数据的取证是指为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份。内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的
CTF取证总结(内存取证,磁盘取证)以及例复现
热门推荐
Love&Share
09-20 2万+
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系
BuuCTF难详解| Misc | [RCTF2019]disk
pone2233的博客
09-15 2101
栏目介绍 这难点,在如何挂载。也是一个脑洞蛮大的目。 BuuCTF难详解| Misc | [RCTF2019]disk P1: 我们获得的文件只有一个 遇到这种文件,一般都是直接拿去内存取证的,然而我取了半天似乎没有什么有用的信息,然后这种文件是虚拟机里面的文件,请看介绍。 VMDK:(VMWare Virtual Machine Disk Format)是虚拟机VMware创建的虚拟硬盘格式,文件存在于VMware文件系统中,被称为VMFS(虚拟机文件系统) 这边我也学会一个技巧,遇到vmdk可
内存取证之volatility及案例演示
m0_46467017的博客
08-27 2948
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。若没有不会安装可以查看这篇文章内存取证-Volatility安装使用以及一些CTF比赛目。......
内存取证
qq_59706867的博客
04-13 444
内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;2.获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;可以使用john工具来爆破密码,但是好像没用。恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。获取当前系统浏览器搜索过的关键词,作为 Flag 提交;上一中已经知道进程号是2588。查到父进程是3036。
内存取证常见例思路方法-volatility (没有最全 只有更全)
路baby的博客
02-22 4123
内存取证常见例思路方法-volatility (🎈没有最全 只有更全🎈) 决定出一期内存取证常见型的文章,利于诸君平时做 文章也会持续更新 加油各位( •̀ ω •́ )y 期待与君再相逢🎈
电子数据取证入门第一步
05-18
入门第一步是了解电子数据取证的基本概念和过程,包括: 1. 了解法律规定:不同国家和地区的电子数据取证法律规定不同,需要了解本地的相关法律规定和司法实践,以确保电子数据的取证过程合法有效。 2. 确定取证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值