Windows内存镜像取证

最新推荐文章于 2024-06-04 10:07:31 发布
最新推荐文章于 2024-06-04 10:07:31 发布
阅读量674 收藏 6
点赞数 13
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ping204568238/article/details/136359415
版权

1.得到后缀为vmem的镜像文件后,就启动volatility,然后打开该镜像存放位置下的终端

2.终端输入volatility -f 文件名.vmem imageinfo就可以得到该镜像的系统版本

3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号

4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令

5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容

6.寻找最大程序提取信息,这个一般就是敏感文件,volatility -f 文件名.vmem --profile=系统版本号 timeliner

7.查看用户名和密码:volatility -f 1.vmem --profile=Win7SP1x64 hashdump(第一次看不出来的时候就用lasdump替代hashdump来看)

8.查看进程:volatility -f 1.vmem --profile=Win7SP1x64 pslist

9.查看服务器消息:volatility -f 1.vmem --profile=Win7SP1x64 svcscan

10.查看文件内容dmpfiles

volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q 0xxxxxxxx -D ./

需要指定偏移量 -Q 和输出目录 -D

12.Volatility -f 1.vmem --profile=Win7SP1x64 hivelist

看见后缀是system的,以直接通过 hivedump查询相应的键名但比较慢:

volatility -f 1.vmem --profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 > system.txt

ping204568238
关注
  • 13
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析。
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
windows 端如何获取 java 项目的内存镜像文件
最新发布
AGOODJAVABOY的博客
06-04 130
Windows环境下获取Java项目的内存镜像通常是为了进行调试或分析内存泄漏等问题。例如,如果你想获取进程ID为1234的Java应用程序的内存映像,并将其保存到当前目录下的。jmap -dump:format=b,file=<输出文件路径> <进程ID>确保你有足够的权限执行这个命令,如果需要,可能需要以管理员身份运行命令提示符。1. 首先打开任务管理器找到自己正在运行的java 项目任务。是JDK自带的一个内存映射工具,可以生成堆的内存映像。是你希望保存内存映像的文件路径。是Java进程的ID。
内存镜像文件取证
山兔的博客
03-20 933
打印userassist注册表项和信息跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。题目问我们的是最后一次运行计算器的时间,我们直接去找calc.exe的最后一次运行的时间得出最后运行的时间是2021-12-10 12:15:47 UTC+0000,因为我们是在东八区,所以时间要加上8个小时,所以最终的截止时间是2021-12-10 20:15:47。
获取计算机内存镜像文件,计算机取证中的内存镜像获取的研究与实现
weixin_40003780的博客
07-23 588
摘要:随着计算机科学技术的迅猛发展和网络普及,以计算机信息系统为工具和j巳罪对象的各式新型j巳罪案件频繁发生,造成的巨大危害也越来越大.怎么可以最大程度地获取计算机j巳罪相关的计算机证据,将犯罪人员绳之以法,己成为司法部门和计算机领域中需要解决的新问题.由于司法机关在处理高科技j巳罪方面缺乏必要的技术保证和支持,所以为了更好地提高打击计算机j巳罪的能力,计算机取证人员应该对该领域进行更加有效的研究...
获取计算机内存镜像文件,计算机取证物理内存镜像获取技术的研究与实现
weixin_30695935的博客
07-23 485
摘要:随着信息技术的发展,计算机与网络成为社会政治,经济,文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出.计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究,关注的重点. 本文介绍了计算机取证技术的现状和发展情况,比较了现有的计算机取证模式,分析了离线取证模式的不足,指出了在线取证模式研究的必要性.物理内存取证是在线取证的重要环节,也是当今的研究热点.本文...
名词解释 内存镜像
weixin_34072637的博客
06-27 376
在IBM官网上看了下X3650的介绍。看到了一个新鲜的名词 内存镜像 ,就找了看看 ,IBM的另一种更高级的防止因内存错误而导致整个服务器不稳定性事件发生的技术就是内存镜像技术。或许有可能服务器不知什么原因使许多内存保护和Chipkill修复技术都不能完全修复内存错误的情况,此时内存镜像就会开始在系统中运行。  内存镜像的工作原理很像磁盘镜像,就是将数据同时写入到两个...
Windows物理内存取证
11-27
1. **内存镜像**:取证过程中,首先需要创建内存的完整镜像,这一步通常通过专门的取证工具完成,如Helix。内存镜像包含系统运行时的所有内存页面,确保不会因系统操作或电源中断而丢失关键信息。 2. **数据解析**...
Windows8下基于镜像文件的内存取证研究
02-13
博士论文,讲解非常清楚,欢迎阅读,会有丰厚的收获,Windows8下基于镜像文件的内存取证研究
内存取证工具及依赖.rar
08-17
3. Redline:Redline是微软开发的一款内存取证工具,主要用于Windows环境。它可以收集内存快照并分析其中的恶意软件活动、进程、网络连接等信息。 4. Helix3 Pro:Helix3 Pro是Eltima Software开发的一款全面的取证...
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
Windows内存映像文件及其应用
nandi_1的专栏
11-06 1034
<br />关键词:内核对象、内存映像文件、数据共享<br />Key Words: Kernel Object; Memory-Mapped Files; Data Sharing<br />一.内核对象和地址空间<br />为了更好地理解本文后面的内容,在介绍内存映像文件之前我们先简单回顾一下Window<br />s中内核对象和地址空间的有关概念。在Windows中有各种内核对象,如事件、文件、进<br />程、旗语、互斥体等。内核对象是由系统内核分配管理的一段内存块,只有系统内核能<br />够直接
内存取证篇】内存镜像神器-MAGNET RAM Capture
蘇小沐的电子数据取证博客
12-01 4030
内存取证篇】内存镜像神器-MAGNET RAM Capture ​ MAGNET取证公司出品的内存取证工具、免费、小巧(300多KB)、操作极简(一步到位?!)、内存镜像可分段—【suy】 文章目录【内存取证篇】内存镜像神器-MAGNET RAM Capture就需要设置两样1、设置分段大小2、镜像保存位置内存镜像完成总结 就需要设置两样 1、设置分段大小 ​ 五种:不分段、500MB、1GB、2GB、4GB; 2、镜像保存位置 自定义内存镜像保存位置(镜像需要自命名); 然后点击开始即可。 实时
C语言中内存镜像,浅析c语言中的内存
weixin_29607417的博客
05-25 347
1、栈(stack):存局部变量、函数,调用函数时会开辟栈区,函数结束时就自动回收,遵循后进先出的原则,从高地址向低地址增长。2、堆(heap):malloc、realloc、calloc等开辟的内存就在堆,从低地址向高地址增长,由程序员分配和释放,系统不自动回收,所以一定要记得申请了就要释放,以免溢出。3、数据段(初始化数据段)(data):存放初始化的全局变量、static修饰的已初始化的变量...
内存映像图
AS588AS的博客
02-01 2079
内存映像图内存映像象图内容权限栈区函数中的普通变量可读可写堆区动态申请的内存可读可写静态变量区static修饰的变量可读可写数据区用于初始化变量的常量只读代码区代码指令只读1. 栈区:普通变量(非new, 非const...)2. 堆区:使用new动态分配的(或者, 其他动态分配方法)3. 静态变量区:static修饰的4. 数据区:例如, 初始化字符指针的--char*p="this is a ...
纵横网络靶场-内存镜像分析-工控业务流量分析
m0_68113265的博客
10-17 266
一黑客通过互联网扫描,发现某企业的互联网入口,经过一系列操作将工控机进行了锁定,你能通过分析内存镜像,破解黑客留下的登录密码吗,并找到FLAG,flag形式为 flag{}对Administrator的最后一段数字进行md5解密,得123456789,再进行md5加密的32位小写密文位flag。某工场在厂区安全检测时,检测到一段异常流量数据包,分析数据包中的异常,找到FLAG,flag形式为 flag{}该功能码用于读取离散输出(线圈)的状态。通常,它用于读取数字输出的状态,例如,获取开关或继电器的状态。
FSG2.0(1)------内存镜像
confusion
01-06 750
一.内存镜像法 1.先用PEiD查壳。 2.进入OD,停在此处。 3.关闭所有异常。 4.先后在资源段,运行,代码段下断点,运行 发现程序已然开始 在程序刚进入的时候停在资源段内,如果在此下断,并不会运行,于是在输入表下断。 4.下断后运行之 停在输入表 5.双击代码段可以看到还未解压(如果是加密总不能密文都是一样的吧),继续在资源段下断,运行 6.还没解压。。在代码段下断,运
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值