内存取证大纲(文件后缀mem)【volatility】【WRR】

最新推荐文章于 2023-12-12 16:16:29 发布
最新推荐文章于 2023-12-12 16:16:29 发布
阅读量1.8k 收藏 7
点赞数 2
文章标签: 数据分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65713959/article/details/127795567
版权
本文详细介绍了内存取证中的关键步骤,包括内存镜像的架构及其重要性。重点讲解了Volatility工具如何查询镜像版本号和生成时间,提供了命令行和可视化平台两种使用方法。此外,还提及了WRR工具在查看注册表文件,特别是针对USB设备和打印机专题的应用。
摘要由CSDN通过智能技术生成

目录

一. 内存镜像的架构

二. 工具

1.【volatility】查询镜像版本号和生成时间

使用方法1:打开命令行

使用方法2:可视化平台

2.【WRR】注册表文件查看工具

USB设备专题:

打印机专题:

一. 内存镜像的架构

了解内存的基本信息
做题之前先导注册表,如SYSTEM,SOFTWARE,ntuser.dat,SAM

二. 工具

1.【volatility】查询镜像版本号和生成时间

安装位置:

使用方法1:打开命令行

D:/try/volatility/> vol.exe -h
获取镜像架构
D:/try/volatility/> vol.exe -f  镜像文件的地址 imageinfo
生成转储时运行的进程,pslist插件,最后一行的进程可以看到是用什么工具程序来获取内存镜像的,如FTK Image
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 pslist
以树的形式生成转储时运行的进程,pstree插件
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 pstree
以树的形式生成转储时运行的进程,pstree插件,并生成txt文件放在volatility安装路径上
D:/try/volatility/> vol.exe -f 镜像文件的地址 --profile=上面解析的版本号 pstree > pstree.txt
最低0.47元/天 解锁文章
DancingMen
关注
内存取证——基础知识(volatility内存取证
记录并分享学习安全的知识点..
01-11 904
内存取证——基础知识(volatility内存取证
内存取证入门第一题
admin的博客
07-02 1348
试题链接:https://pan.baidu.com/s/1nDo5N4uHnV8a5hYXScV4nQ--来自百度网盘超级会员V2的分享。
内存取证 volatility
weixin_51030879的博客
05-16 676
0xThrL狗蛋师傅整理的内存取证笔记 有问题可以联系狗蛋师傅VX:GD0xThrL这是国赛里面有的内存取证相关的学习笔记绝对的详细Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1376
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
内存取证——文件
苟有恒,必有三更眠,五更起。
11-05 3034
文件 notepad里的秘密(二)0x00文接上文,前一篇关于内存取证读取进程。这篇总结一下,内存取证读取文件。0x01step1:常规操作,先读取内存类型:step2:可以得到profile类型 WinXPSP2x86 -f 指定文件。看进程?还像上一题?不存在的!出来很多文件,但是没有notepad进程。step3:昨天阅读帮助,今天又读了一遍,发现我们除了进程,还可以查看文件,命令:vola...
Linux 内存取证文件系统取证Volatility取证
NFMSR的博客
08-10 3096
File Systems 知识点 USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件 Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件 ext3/4,Linux系统中最常见的文件系统格式 sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。 proc...
使用GDAL的MEM内存文件保存临时文件
weixin_34110749的博客
12-30 299
在使用GDAL编写算法的时候,经常会将计算的中间结果存在一个临时的图像文件中,然后使用完再将其删除,如果临时文件就一个的话,创建一个也无所谓,但是当一个复杂的算法中可能会出现很多个临时文件的时候(我在编写Hariss角点自动匹配算法的时候有4个临时文件),这种情况下总觉得临时文件很不爽,此外第一个不爽的地方;第二个图像太大的时候,临时文件也会占用很大的空间,假如空间不足或者给定的临时文件路...
关于MTK几个MEM文件
kingepoch的专栏
07-13 848
<br /> <br />1.Med_MEM.h<br /> <br />media内存大小文件,修改med_ext_mem_union可以增加media内存大小。<br />例:<br />把media内存加到1000K<br />typedef union<br />{<br />  U8 testsize[1000*1024];<br />}med_ext_mem_union;<br /> <br />2.ScrMemMgr.h<br /> <br />例:<br />把media内存加到500K<b
内存取证习题复现
m0_50911938的博客
01-10 1521
内存取证 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令 imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一
MEM分析系列--vmstat+jmap+mat对内存泄漏分析
qq_40132294的博客
11-25 1682
目录 jmap命令是一个可以输出所有内存中对象的工具,甚至可以将VM 中的heap,以二进制输出成文本。 1.修改tomcat堆栈内存后启动服务:vim catalina.sh 2.通过jmeter对系统施加长时间压力,查看是否有内存泄漏发生. 3.htop查看系统状态:yum install -y htop-->htop 4.vmstat查看系统free内存变化:vmstat 1,内存持续减少 5.压测过程中记录java堆内存信息: ps -ef | g......
VolatilityWorkbench初步使用
wuwuliuliu0524的博客
04-16 693
VolatilityWorkbench:Volatility可视化工具。第一行Image file:Browse Image选择镜像。缺点:在单独寻找某个进程、文件等时,无法搜索,非常难受。pslist命令还可以单独选择某一个exe分析其进程。第二行Platform:解析操作系统类型后能选择。加载完成之后选择第三行的命令,然后run。优点:速度很快,不用输入命令,一目了然。
注册表模式
wxhzt的专栏
08-22 1428
注册表的作用是提供系统级别的对象访问功能,虽然全局
数据取证工具MemProcFS
最新发布
Fiverya的博客
12-12 1194
MemProcFS 是一种将物理内存视为虚拟文件系统中的文件的简便方法。简单的点击内存分析,无需复杂的命令行参数!通过安装的虚拟文件系统中的文件或通过功能丰富的应用程序库访问内存内容和工件以包含在您自己的项目中.
xpm_memory_tdpram原语的完整使用实例
yindq1220的博客
06-17 3686
一、xpm_memory_tdpram原语介绍 当需要指定RAM内初始化数值时,可以使用原语中的参数MEMORY_INIT_FILE,指向一个尾缀为.mem文件。该文件内的内容要求必须时十六进制的,与$readmemh函数读取的文件内容格式一致,用空格或者回车将数据隔开即可。另外需要注意的是,本着解决ultra RAM的想法,一个ultra RAM的数据位宽为72bits,因此72bits拆分为18bits,即ultra RAM的一个地址上,保存着4个18bits的像素数据。 二、如何生成.mem
从C(或汇编代码)到risc-v机器码:将risc-v的gcc编译结果转换为vivado可读取的.mem文件
qq_36559664的博客
04-05 6995
RV编译器使用方法 第一步 安装RV GCC 参考文献:https://blog.csdn.net/qq_35553265/article/details/91324754 在学习riscv架构的时候必须会使用到相关指令来测试逻辑是否正常,而手写机器码是一个很痛苦的过程,而使用gcc进行编译生成相应的指令是一个方便的方法,而很多同志在刚开始学习是在windows环境,所以,本文介绍了riscv的gcc在windows(笔者使用的是windows10专业版)环境下的安装。 Linux版本的安装参考蜂鸟E203
GDAL中MEM格式的简单使用示例
weixin_33882452的博客
02-21 402
GDAL库中提供了一种内存文件格式——MEM。如何使用MEM文件格式,主要有两种,一种是通过别的文件使用CreateCopy方法来创建一个MEM;另外一种是图像数据都已经存储在内存中了,然后使用内存数据块来构造一个MEM。第一种方式比较简单,这里主要说明下第二种方式。 首先看看MEM的说明文档,地址为:www.gdal.org/frmt_mem.html。从里面我们可以看到MEM文件支持几乎...
RegRipper注册表解析工具分析,软件分享,附带使用教程
ntrybw的博客
11-06 1248
链接:https://pan.baidu.com/s/1PZcceKjn4D1dKLx7ubvBWA?--来自百度网盘超级会员V3的分享。RegRipper的链接。
内存取证分析基础,命令整理,包含vol2和vol3
ntrybw的博客
09-11 3652
C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址)-s(SAM的virtual值)此命令能获取密码的hash值,但是我个感觉没什么用,不如直接hashdump。netscan链接协议,本地地址,链接状态,,监听端口。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值