内存取证——volatility
0x00
最近没有做题,之前放掉的一个杂项题,现在重新看看。
0x01
通过hint,了解到内存取证这个神奇的东西,那么不急着做题,先把这个研究研究。
0x02
内存取证,是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。(个人理解,欢迎纠正)
这里主要使用工具——volatility.
0x03
工具介绍:volatility
volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具。
0x04
工具安装我就不多说了,建议安装kali,里面集成许多工具,包括这个。
其他环境安装方法——传送门
0x06
作为萌新,我的第一步——阅读帮助
volatility -h
在通过阅读博客,大概知道操作流程了。
下面开始解题:
notepad的秘密——解题过程:
● 下载后是一个.raw文件,raw意为“原材料,未加工的”。。
● 进入.raw文件所在目录,输入命令判断该文件内存进程
volatility -f 1.r