DumpIt+Redline提取Win7的内存信息

最新推荐文章于 2024-08-24 09:53:27 发布
最新推荐文章于 2024-08-24 09:53:27 发布
阅读量723 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36933272/article/details/88533073
版权
本文介绍了内存取证的重要性,特别是在查找仅存在于内存中的恶意软件时。通过实验步骤展示了如何利用DumpIt抓取内存快照,然后使用Redline工具进行分析,包括查看进程、父子关系、MRI评分、驱动、Hooks等关键信息,以及如何提取CMD命令历史记录。
摘要由CSDN通过智能技术生成

内存取证的定义

计算机中所有程序的运行都是在内存中进行,其作用是用于暂时存放CPU中的运算数据,以及与硬盘等外部存储器交换的数据,内存反映了操作系统和应用程序最重要的状态信息,也就是“当前运行”状态信息,包括操作系统、运行的程序、活动网络连接、打开的文件句柄等等各类动态信息。木马程序出于隐藏的目的,可以对在线取证工具造假,为API或系统调用返回修改的数据,但其程序自身和数据结构在内存中是真实存在的。针对一些仅存在于内存中、关机即消失的木马,内存取证是唯一的查证手段。内存取证是指对计算机中的物理内存(RAM)进行分析的技术。

实验步骤

1、依次打开记事本、计算器、cmd、dumpit(v1.3.2),在记事本输入任意字段。在dumpit输入y,即可将内存存储在自定义的路径中
在这里插入图片描述
2、安装Redline,直接在网上下载,解压安装。之后用其打开之前保存的raw文件
在这里插入图片描述
在这里插入图片描述
3.修改一下默认分析,打开Strings参数
在这里插入图片描述
4.设置后,点击nex

最低0.47元/天 解锁文章
qq_36933272
关注
【应急响应篇】应急响应之内存分析方法
大河之犬的博客
05-24 872
Volatility 是一个开源的内存取证工具,可以分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd 历史命令、IE 浏览器历史记录、启动项、用户、shimcache、userassist、部分 rootkit 隐藏文件、cmdliner 等。在获取内存文件后,可以使用 Redline 进行导入分析,其主要收集在主机上运行的有关进程信息内存中的驱动程序,以及其他数据,如元数据、注册表数据、任务、服务、网络信息和 Internet 历史记录等,最终生成报告。
Python从0到100(三十八):json字符串的数据提取
热门推荐
Hello大家好,我是Dream,如果帮得到你,那我深感荣幸!交流学习、商务合作:https://bbs.csdn.net/topics/614347534
07-15 8万+
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式,它使得人们很容易的进行阅读和编写。同时也方便了机器进行解析和生成。适用于进行数据交互的场景,比如网站前台与后台之间的数据交互。JSONPath 是一种信息抽取类库,是从JSON文档中抽取指定信息的工具,提供多种语言实现版本,包括:Javascript, Python,PHP 和 Java。
redline内存分析工具
12-13
Fireeye安全公司发布的一款针对内存分析的工具,可对内存数据进行整理和分析
内存占用分析工具
05-07
内存占用太高,招不到原因,分享两个超给力的工具。 RAMMap 和 VMMap 大名鼎鼎,结合起来用能分析所有的内存问题。
渗透测试内存取证
最新发布
zzz6583zz的博客
08-24 997
所用系统:kali-linux-2019-2-amd64,此系统中预置Volatility(位于“应用程序”-“11 Forensics”)(“Forensics”译为“取证”)点击该应用可进入终端命令行并显示当前Volatility支持的命令行及命令行含义(注: Volatility为命令行工具,自行开启系统“终端命令行”后键入volatility -h可获得以上操作相同的命令行展示信息
内存取证
welcome.php
05-10 387
如有错误,希望大佬及时指出。 工具:volatility(如果找不到windows版本,可以使用kali linux自带的) volatility.exe -f I:\安装包\新建文件夹\电子取证\内存镜像_爆破-判断内存所处的系统-获得所有用户名和密码Hash,并解hash\ch2.dmp imageinfo volatility -f 镜像名称 imageinfo 用来自动分析内存所属的操作...
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
内存分析编辑器.支持文本,整数查找!最方便的是可以对内存数据进行快照,然后对比数据的不同,以找出自己想要的数据 。
12-11
一款好的内存分析查找工具。支持文本,整数查找。最方便的是可以对内存数据进行快照,然后对比数据的不同,以找出自己想要的数据 。
数字取证技术 :Windows内存信息提取
即刻出发吧
04-05 5378
数字取证技术 :Windows内存信息提取。后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析?因为在内存
Node-RED系列(二七):扩展节点之s7节点的使用说明
知无涯
06-13 4276
目标:掌握s7节点中各个节点的基本使用方法。 详细介绍`node-red-contrib-s7`中 `s7 in` `s7 out` 和 `s7 control` 节点的使用
DUMPIT.exe
05-28
内存镜像读取,内存镜像读取,内存镜像读取,内存镜像读取
内存 分析 工具111111
08-07
能够分析和释放空闲内存 能够分析和释放空闲内存
MAT(MemoryAnalyzerTools)内存分析工具win32绿色破解版下载
07-20
此工具为MAT(MemoryAnalyzerTools)win32位工具,用来做内存分析,供JAVA或android开发者使用,解压即用相当方便,喜欢的小伙伴可以试试!
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
dump教程示例代码和工具
09-10
关于dump的教程,示例代码
redline教程
cnbird's blog
10-22 1774
http://www.youtube.com/watch?v=sAobJ1kmyqA
内存取证篇】内存取证工具-DumpIt
蘇小沐的电子数据取证博客
11-29 8131
内存取证篇】内存取证工具-DumpIt DumpIt内存取证小工具,小体积大用途,一步制作计算机内存镜像—【suy】 一、DumpIt特点 1、用于生成Windows计算机的物理内存转储 运行环境:32位、64位计算机。 2、原始内存转储在当前目录中生成 镜像保存路径:DumpIt软件所在位置,启动前仅提示确认问题。 3、便携性 便携性:可完美地部署在USB闪存盘上,快速响应事件。 二、DumpIt运行界面 双击软件即可运行,输入“y”,即开始制作当前机器的内存镜像。 内存镜像默认保存在“DumpIt软
Windows取证实验
qq_63855830的博客
03-26 2337
Windows活取证实验
BUUCTF [RoarCTF2019]forensic
../../../../../../../
10-12 1385
打开 下载到mem.raw 把mem.raw放入kali volatility查看镜像 volatility -f mem.raw imageinfo 建议用profile, 后面用Win7SP1x86 查看内存进程: volatility -f men.raw pslist --profile Win7SP1x86 发现有几个进程 了解发现: TrueCrypt.exe是一款磁盘加密工具,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 notepad.exe windows自带记事本
redline内存分析
09-03
Redline内存分析是一种用于查找和解决Java应用程序中内存问题的工具。它能够帮助开发人员定位内存泄漏和内存溢出等与内存相关的问题,以优化应用程序的性能。 Redline内存分析工具的原理是通过分析Java应用程序的堆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值