volatility内存镜像取证

已于 2022-01-26 19:00:44 修改
阅读量3.9k 收藏 17
点赞数 1
分类专栏: 杂项知识总结 文章标签: kali linux python
于 2022-01-15 11:12:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51999772/article/details/122507511
版权

volatility内存镜像取证

在misc中raw文件一般不是一个图像文件,RAW(图像文件)_百度百科 (baidu.com)

而是内存镜像文件,(10条消息) 内存映像文件简介_hust_sheng的专栏-CSDN博客_内存映像文件

也就是说在这个镜像文件里面,我们可以看到当时主机上运行的进程以及交换的文件

这里介绍使用volatility对raw文件进行取证,也就是是内存取证

volatility安装(10条消息) volatility安装及使用_陈止风的博客-CSDN博客_volatility安装

volatilityfoundation/volatility: An advanced memory forensics framework (github.com)

查看内存镜像系统摘要

python2 vol.py -f xxx.raw imageinfo

得到

这里得到的系统版本"WinXPSP3x86"接下来的命令中要用到

扫描镜像的进程

vol.py -f xxx.raw --profile=WinXPSP3x86 psscan

或者是

vol.py -f xxx.raw --profile=WinXPSP3x86 pslist

返回所有进程,查看可疑进程

misc里面最敏感的当然是zipnotepad,进一步查看这两个进程的文件

导出进程数据

vol.py -f xxx.raw --profile=WinXPSP3x86 memdump -p 3388 -D ./

其中-p的参数值是进程对应的PID号

导出结果是.dmp文件

扫描文件

vol.py -f xxx.raw --profile=WinXPSP3x86 filescan | grep zip
vol.py -f xxx.raw --profile=WinXPSP3x86 filescan | grep txt
vol.py -f xxx.raw --profile=WinXPSP3x86 filescan | grep flag

不加grep,管道操作的话,扫描出来的文件会很多,很影响取证操作

这样可疑文件就出来了

image-20220115105839170

导出文件

在扫描文件过程中每个文件的开头都有一串十六进制,那个应该是文件的存取地址

voi.py -f xxx.raw --profile=WinXPSP3x86 dumpfiles -Q 0x0000000001b34f90<文件地址> -D outfile

这样就成功导出文件

image-20220115110317371

导出的文件后缀名是统一的,需要之后自行修改正确的后缀名

image-20220115110358416

另外的一些内存取证工具

其他工具

来源于CTF-wiki

参考文章

(10条消息) kali 安装volatility_Volatility取证使用笔记_weixin_39559369的博客-CSDN博客

M3ng@L
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
针对恶意代码的连续内存镜像分析方法
01-20
为了更加全面地检测恶意代码的行为,提出连续内存镜像分析技术。核心是在QEMU虚拟机中运行恶意代码样本,获取样本运行时期连续增量的内存镜像,然后按照时序解析为多个完整的内存镜像。在单个内存镜像分析的基础上,对不同时刻内存镜像做对比分析。同时设计运用可视化工具D3.js,以图表的形式直观动态地展示系统运行过程中内存状态的变化。最后实现原型系统,通过对40种恶意代码样本进行测试,检测出的恶意代码行为数量在传统单镜像内存分析的基础上增加了19.7%。
[V&N2020 公开赛]内存取证
volcano的博客
04-08 4459
题目地址: https://buuoj.cn/challenges#[V&N2020 公开赛]内存取证 这题用到的内存取证分析工具是Volatility 关于这个工具的具体命令非常多,可以在官方页面仔细看看 解题 先下载上面的附件,这种raw文件是内存取证工具Dumpit提取内存生成的内存转储文件。 ...
Windows内存镜像取证
最新发布
ping204568238的博客
02-29 344
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号。4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令。5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容。需要指定偏移量 -Q 和输出目录 -D。
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
Volatility内存取证
12-30
Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
内存镜像工具MAGNET
07-13
电子数据取证人员在取证现场需要的一种工具,必备的内存镜像工具,操作简单,支持分卷,超级好用!RAM CAPTURE V1.2.0
阿里云镜像恢复,镜像取证
nmgwhjl的博客
03-18 5981
阿里云镜像恢复,镜像取证raw文件下载格式转换新建虚拟机使用现有磁盘功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 r...
2022——赣网杯MISC题目来学习volatility
小菜猴子_x
03-03 387
2022——赣网杯MISC题目来学习volatility
2022年农信银网络安全竞赛3-2 ez_raw简单取证writeup
weixin_42453160的博客
05-24 1016
下载解压ez_raw,根据题意判断文件应为内存镜像,用volatility工具分析。 1、扫描cmd命令行获得一串base64字符串 volatility -f .\ez_raw --profile=Win7SP1x64 cmdscan 5oiR5Zyo5rWP6KeI5Zmo5LiK5LiL6L2955qE5Lic6KW/5om+5LiN5Yiw5LqG77yM6L+Z56C055S16ISR6buY6K6k5LiL6L295Yiw5LuA5LmI5Zyw5pa55LqG77yf 2、用Base6...
内存取证习题复现
m0_50911938的博客
01-10 1473
内存取证 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令 imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一
第三周——数据采集
weixin_43721828的博客
03-25 1063
第三周——数据采集 一、数字证据存储格式 取证采集工具收集的数据以图像文件的形式存储,通常采用开源或专有格式。 根据专有格式,许多取证分析工具可以读取其他供应商格式化的收购。许多取证取证工具使用旧的开源格式(称为 raw)以及它们自己的专有格式创建一个磁盘到图像文件。新的开源格式,高级法医格式(AFF),正在得到一些法医鉴定人员的认可。 原始的格式 ​ 过去只有一种实用的方式来复制数据,以保存和检查证据。检查人员将一个磁盘一点一点地复制到另一个相同或更大的磁盘上。作为一种保存数字证据的实用方法,供应商(以
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
内存分析工具
07-29
内存分析,内存数据分析编辑器 2[1].1.125.zip
Volatility内存取证大杀器的常用的命令
08-05
Volatility内存取证大杀器的常用命令,一般都只用这些,超级实惠
一个雏形,一个基于Volatility进行可视化、自动化内存镜像分析的工具.zip
02-19
【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】: 适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同进步。
内存取证 volatility
07-12
内存取证 volatility
内存取证 && volatility工具(持续更新)
苦行僧的妖孽日常
10-03 429
中国工业互联网安全大赛writeup
MISC取证_ezEforensics
Lavignesong的专栏
01-05 380
这次是一道打开之后需要百度这是什么格式的题,不常见的raw文件。百度之后发现是未格式化的系统文件,结合题目,应该是一道比较简单的取证分析题。话不多说,先上工具。这次用到的工具是volatility,紧急下载安装kali后发现新版本的Kali没有volatility,还是得自己安装。
CTFshow misc入门 持续更新中
weixin_66959526的博客
04-11 3399
misc24 得到一个bmp格式图片文件,根据题目提示:flag在图片上方 知识点:bmp格式的图片(优点:无损压缩,图片质量好。)(缺点:文件太大) 使用010 Editor打开 修改图片高度 将0096 修改为00F0 得到flag ctfshow{dd7d8bc9e5e873eb7da3fa51d92ca4b7} misc25 得到一个png格式的图片 这题和24题差不多 题目提示:flag在图片下面 有时候感觉手工太累,找到一个大佬的脚本 一键破解png图片宽高 import struct.
Volatility 内存映像提取
06-06
要使用Volatility提取内存映像,可以按照以下步骤进行操作: 1. 下载和安装Volatility:可以从Volatility官网下载最新版本的Volatility,并按照官方文档进行安装。 2. 获取内存映像:要获取内存映像,可以使用dd命令将内存转储到文件中,例如: ``` dd if=/dev/mem of=memdump bs=1M count=1024 ``` 这个命令将内存中的前1024MB数据转储到memdump文件中。这个过程可能需要root权限。 3. 识别操作系统和内核版本:使用Volatility命令行工具,运行以下命令来识别内存映像中的操作系统和内核版本: ``` volatility -f memdump imageinfo ``` 这个命令会输出内存映像中的操作系统和内核版本信息。 4. 进行内存分析:使用Volatility命令行工具,可以运行各种插件来进行内存分析,例如: ``` volatility -f memdump pslist ``` 这个命令将输出内存映像中运行的进程列表。 以上是使用Volatility提取内存映像的基本步骤。Volatility还支持许多其他的插件和功能,可以根据需要进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M3ng@L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值