内存取证——volatility

最新推荐文章于 2024-02-19 09:32:12 发布
最新推荐文章于 2024-02-19 09:32:12 发布
阅读量1.9w 收藏 51
点赞数 7
文章标签: CTF 内存取证 网安
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingchenldl/article/details/78447003
版权

内存取证——volatility

0x00

最近没有做题,之前放掉的一个杂项题,现在重新看看。

0x01

通过hint,了解到内存取证这个神奇的东西,那么不急着做题,先把这个研究研究。

0x02

内存取证,是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。(个人理解,欢迎纠正)
这里主要使用工具——volatility.

0x03

工具介绍:volatility
volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具。

0x04

工具安装我就不多说了,建议安装kali,里面集成许多工具,包括这个。
其他环境安装方法——传送门

0x06

作为萌新,我的第一步——阅读帮助
volatility -h

在通过阅读博客,大概知道操作流程了。
下面开始解题:
notepad的秘密——解题过程:

● 下载后是一个.raw文件,raw意为“原材料,未加工的”。。
● 进入.raw文件所在目录,输入命令判断该文件内存进程
volatility -f 1.raw imageinfo

● 可以得到profile类型 WinXPSP2x86 -f 指定文件
● 再查看进程信息, 输入命令
volatility -f 1.raw pslist --profile=WinXPSP2x86

● 进程可以说很多了,但是我们可以利用grep命令,搜索出notepad



● 进程中有notepad.exe (从博客里看到的东西可以猜测,这个notepad是一个插件)而且题目就是notepad里的秘密,且hint里提到flag在flag.txt里,所以直接用notepad插件列出其中包含的txt内容
● 输入命令
volatility notepad -f 1.raw pslist --profile=WinXPSP2x86

即可得到flag

-----------更新于2018.319,将丢失的图片补全(之前不会用markdown,导致图片丢失,一直没有发现)--------------


「已注销」
关注
  • 7
    点赞
  • 51
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Volatility内存取证
12-30
Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
kali linux之取证
weixin_30723433的博客
03-14 1349
取证简介: CSI:物理取证 指纹、DNA、弹道、血迹 无力取证的理论基础是物质交换原则 数字取证/计算机取证 智能设备、计算机、手机平板、loT、有线及无线信道、数据存储 事件响应调查------黑客攻击,渗透测试留痕 通用原则----(取证分析全部过程记录文档) 维护证据完整性 数字取证比物理取证幸运的多,可以有无限数量的拷贝进行分析...
kali下安装Volatility
最新发布
苏生要努力
02-19 1069
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。任意目录下执行:vol.py --help(查看帮助),若能正常显示相关信息,不报错,即为安装成功。使用github上的volatility项目进行源代码安装。切换到volatility目录下,并执行安装命令。
小白学习,在kali里面用volatility3,一步一步细致操作,解决问题。建议电子取证选手好好看看。
ntrybw的博客
11-08 2677
要是偷懒的话,我就在这里放上v3这个东西的链接吧,哈哈哈,感觉v3也不好找。kali直接去官网下载,还是很好找的。链接:https://pan.baidu.com/s/1IXUBJhdsWBD6Ji1BTwZSoA?然后就顺利安装,打开,把v3拖进去,就变成这样子,对了,可以把镜像也拖进去。cd / . ./ /volatility3 进入文件夹。创建虚拟机的步骤我就跳过,推荐官网下载。有问题直接私信我,我一般会尽快回的。
volatiliy--内存取证大杀器
Yale的博客
05-26 5724
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 打开volatility 启动后看到的suopported flugin command都是volatility可用的插件 左边是插件的命令右边是插件的效果 所有的操作系统都将信息存储在RAM,然后不同的操作系统可能存储在不同的路径下,在vol...
volatility内存镜像取证
M3ng@L的博客
01-15 3884
volatility内存镜像取证 在misc中raw文件一般不是一个图像文件,RAW(图像文件)_百度百科 (baidu.com) 而是内存镜像文件,(10条消息) 内存映像文件简介_hust_sheng的专栏-CSDN博客_内存映像文件 也就是说在这个镜像文件里面,我们可以看到当时主机上运行的进程以及交换的文件 这里介绍使用volatility对raw文件进行取证,也就是是内存取证 volatility安装(10条消息) volatility安装及使用_陈止风的博客-CSDN博客_volatility安装
kali对windows的内存取证
weixin_51957047的博客
04-16 572
kali对windows内存在线取证,对靶机进行挖矿主要的信息提取
kali 安装volatility_电子取证技术之实战Volatility工具
weixin_30539747的博客
01-11 2931
作者:beswing预估稿费:300RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言这几天和麦香表哥一直在玩取证的事情,我也好好学习了Volatility 这个神器,一个开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。Volatility 的安装这次讲的是在linux下的取证,所以我安装的...
内存取证-朴实无华的取证
ce666666的博客
01-13 1323
前言 看着杂项题越来越多,一道都不能秒,来学习一下。 Volatility 介绍 取证框架,对导出的内存镜像进行分析,获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。 安装 在kali上下载Volatility git clone https://github.com.cnpmjs.org/volatilityfoundation/volatility.git 进入文件夹,输入 python setup.py install 安装插件有些麻
Kali Linux渗透测试 151 取证工具-Volatility
kevinhanser
04-20 3872
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 Kali Linux渗透测试(苑房弘)博客记录 1. 制作内存镜像取证工具 Comae-Toolkit-Light使用其中的 DumpIt 制作内存镜像文件,内存文件与内存大小接近或者稍微大一点2. 分析内存文件 插件位置/usr/lib/python2.
内存取证——文件
苟有恒,必有三更眠,五更起。
11-05 2992
文件 notepad里的秘密(二)0x00文接上文,前一篇关于内存取证读取进程。这篇总结一下,内存取证读取文件。0x01step1:常规操作,先读取内存类型:step2:可以得到profile类型 WinXPSP2x86 -f 指定文件。看进程?还像上一题?不存在的!出来很多文件,但是没有notepad进程。step3:昨天阅读帮助,今天又读了一遍,发现我们除了进程,还可以查看文件,命令:vola...
内存取证 volatility
07-12
内存取证 volatility
内存取证软件 Volatility
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集...内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
一文讲述内存取证的数据保存、数据分析、CTF实战案例
Innocence_0的博客
09-09 190
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
MISC之内存取证_Kali环境下使用volatility
dbsod007520的博客
08-18 5318
前言 1、本文所需工具及题目下载路径: 2、所作操作均使用root用户执行 一、安装volatility及相关依赖文件 volatility 是一款内存取证和分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。 1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master 2、将pac.zip文件中的内
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
热门推荐
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
记录一下kali linux配置volatility工具
m0_69869001的博客
05-19 412
然后pip2 install distorm3 或者 pip uninstall distorm3 && pip install distorm3。链接: https://pan.baidu.com/s/19chvzYa0qTt9ytELSvFVcA 提取码: zcgm。
windows2003内存取证
10-27
Windows 2003是微软公司发布的一款操作系统,其内存取证是指通过分析和提取Windows 2003操作系统的内存数据来获取相关的取证证据。 在进行Windows 2003内存取证的过程中,需要借助一些专门的工具和技术。首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,需要了解Windows 2003操作系统的内存管理机制和数据结构。这样可以更好地理解内存中存储的数据的结构和格式,有助于提取和解释相关证据。例如,Windows 2003使用的是物理内存和虚拟内存的管理方式,需要理解这两种内存的分配与释放机制。 此外,还需要注意在进行内存取证时可能遇到的一些挑战和限制。例如,Windows 2003在32位系统上的内存限制为4GB,如果目标系统中的内存大于4GB,可能需要采取特殊的处理方式。另外,操作系统的版本和补丁等也会影响内存数据的分析和提取。 最后,进行内存取证时需要保持数据的完整性和可靠性,确保所提取的证据在法庭上具有可信度。因此,需要采用专业的取证工具和方法,并遵循取证规范和程序进行操作,记录下相关的过程和操作步骤。 综上所述,Windows 2003内存取证是通过分析和提取内存数据来获取相关证据的过程,需要借助专门的工具和技术,同时需要了解操作系统的内存管理机制和数据结构,保证数据的完整性和可靠性。这一过程在数字取证领域具有重要的应用价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值