试题链接:链接:https://pan.baidu.com/s/1WwCX7nyK0mnShBtPsf6DSg?pwd=1111
提取码:1111
--来自百度网盘超级会员V4的分享
一、volatility分析
volatility这个词很传神,挥发。即便是断电消失的内存数据,我们也能恢复。
Tips:内存取证的题目特征
- 取证文件后缀 .raw、.vmem、.img、.vmdk
- 可疑的进程(notepad,cmd)
- 和磁盘取证结合起来考察
- 常见文件后缀dmg,img
VMDK 文件本质上是物理硬盘的虚拟版,也会存在跟物理硬盘的分区和扇区中类似的填充区域,我们可以利用这些填充区域来把我们需要隐藏的数据隐藏到里面去,这样可以避免隐藏的文件增加了 VMDK 文件的大小(如直接附加到文件后端),也可以避免由于 VMDK 文件大小的改变所带来的可能导致的虚拟机错误。而且 VMDK 文件一般比较大,适合用于隐藏大文件
最最最基础的命令格式:
volatility -f [image] ‐-profile=[profile] [plugin] 命令
其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版本, [plugin] 是指使用的插件,其中默认存在一些插件,另外还可以自己下载一些插件扩充
命令详解:https://blog.csdn.net/hacker_zrq/article/details/125578