Linux内存分析--.aff4文件初次接触

最新推荐文章于 2021-05-25 11:52:43 发布
最新推荐文章于 2021-05-25 11:52:43 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 内存分析 文章标签: 内存分析 aff4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdnysjqr/article/details/80155705
版权
本文介绍了如何分析Linux内存中的.AFF4文件。通过解压文件,展示了.AFF4的全局唯一名称(AFF4 URN),并探讨了元数据内容,如'information.turtle'存储的元数据和'PhysicialMemory'表示的物理内存流,以及.rekall在分析中的应用。
摘要由CSDN通过智能技术生成

文中以下载好的.aff4文件为例。

首先,解压下载好的.aff4文件:

unzip -l images/Windows_Server-2003-R2_SP2-English-32Bit-Base-2015.02.11.aff4

得到如下图所示的文件内容:


其中,aff4://4928ef44-6579-496c-a53e-2ad34d98b7ed为.aaf4文件全局唯一名称表示,它通常称作AFF4 URN,是表示.aff4文件的唯一标识。

然后,查看解压后文件中的元数据内容:

unzip -p images/Windows_Server-2003-R2_SP2-English-32Bit-Base-2015.02.11.aff4 information.turtle

得到元数据表示如下:



“information.turtle”是.aff4卷的一个存档成员,保存着相关的元数据。此外,在结果中出现的“PhysicialMemory”是机器物理内存的内存流,“c:/pagefile.sys”是与机器页面文件相对应的流。PhysicialMemorystream是稀疏的,因此是aff4:map类型。Data由PhysicalMemory/data支持。Rekall可以自动使用image和所有的componets,pagefiles也可以在没有用户干预的情况下自动使用。

爱猫的妖妖
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pyaff4:AFF4标准的Python实现
05-03
AFF4-高级取证文件格式 高级取证文件格式4(AFF4)是一种开放源代码格式,用于存储数字证据和数据。 它最初是在[1]中设计和发布的,此后已被标准化为AFF4 Standard v1.0,可从。 该项目是一个进行中的实现,提供了两个库实现,C / C ++和Python。 当前支持什么。 此实现的重点是读取符合AFF4标准v1.0的物理图像,并正在进行基于AFF4的逻辑图像标准的开发。 AFF4参考图像github项目中的提供了v1.0物理图像规范的规范图像。 读取,写入和附加到ZipFile样式卷。 读取条带化的ZipFile卷。 使用deflate或snappy压缩器读取和写入AFF4 ImageStreams。 使用Turtle(以及某种程度上的YAML)读取RDF元数据。 验证线性和块散列图像。 读写逻辑图像(新)。 读写重复数据删除的逻辑映像(新)。 加
rekall内存分析演示
cnbird's blog
05-20 1828
http://memory-analysis.rekall-forensic.com/www/TOC/
F4AF中文手册
08-06
Fox3中队F4AF中文手册.pdf
AF-文件上传
SN的博客
02-12 343
- (void)touchesBegan:(NSSet *)touches withEvent:(UIEvent *)event { // 1.获得请求管理者 AFHTTPRequestOperationManager *mgr = [AFHTTPRequestOperationManager manager]; // 2.发送请求(做文件上传) // p
iOS- 利用AFNetworking(AFN) - 实现文件断点下载
weixin_30634661的博客
07-05 80
iOS- 利用AFNetworking(AFN) - 实现文件断点下载 官方建议AFN的使用方法 1. 定义一个全局的AFHttpClient:包含有 1> baseURL 2> 请求 3> 操作队列 NSOperationQueue 2. 由AFHTTPRequestOperation负责所有的网络操作请求 ...
jdk-8u241-linux-x64.tar.7z
04-13
标题中的"jdk-8u241-linux-x64.tar.7z"是一个标识符,表明这是一个针对Linux操作系统,64位架构的Java Development Kit(JDK)版本8的更新241,其文件格式是tar归档后经过7-Zip压缩的文件。JDK是Java编程语言和Java...
rlwrap-0.45.2.tar.gz 和 rlwrap-0.45.2.zip 两个压缩包
09-21
如今交互式输入是最基本的需求,Linux正是通过readline这个库来记录用户的操作,实现交互式输入、自动补全、搜索等功能。对于没有支持readline操作的命令,rlwrap就是最好的伙伴了。 sha256: 9f8870deb46e473d21b5db...
iOS游戏应用源代码——ferbass-lighter-d4aff2c.zip
最新发布
07-02
本篇文章将深入探讨一个名为“ferbass-lighter-d4aff2c”的iOS游戏应用源代码,通过分析其核心组件和编程实践,帮助读者理解iOS游戏开发的关键技术和流程。 1. **项目结构**:源代码的组织方式通常是iOS应用开发的...
iOS实例开发源码——ferbass-lighter-d4aff2c.zip
07-02
《iOS实例开发源码——ferbass-lighter-d4aff2c详解》 在iOS应用开发的世界里,源码分析是提升技术能力的重要途径之一。本文将深入探讨名为"ferbass-lighter-d4aff2c"的iOS实例项目,通过对源码的详细解析,揭示...
AFF A200 - Replacing DIMMs.pdf
09-23
在IT行业中,内存(DIMM)是服务器和存储系统中的关键组件,负责临时存储和处理数据。当系统检测到越来越多的可纠正错误校验码(ECC)时,这通常是由于DIMM故障导致的,如果不及时更换,可能会引发系统恐慌,从而...
linux cut -d ' ' -f4,www.linux-shop.fr
weixin_28893705的博客
05-25 341
%%%% This is the AFNIC Whois server.%%%% complete date format : YYYY-MM-DDThh:mm:ssZ%% short date format : DD/MM%% ve1ion : FRNIC-2.5%%%% Rights restricted by copyright.%% See https://...
F4map
多多
02-27 2831
F4是法国一家专长于3D显示技术的科技公司。其面向公众的地图产品F4map,基于WebGL技术和OpenStreetMap的基础数据的完美组合,展现出一个十分炫酷的3D场景。 神奇、独特、可交互、实时,是其官方给出的关键词。 打开地图,搜索定位,初始小比例尺二维状态,放大到一定比例尺,等视角切换到三维地图。底图完全基于OSM数据矢量绘制,而且还原程度非常之高。其中建筑以基底及其
关于PF_INET和AF_INET的区别
热门推荐
xiongmaojiayou的专栏
05-20 16万+
在写网络程序的时候,建立TCP socket:    sock = socket(PF_INET, SOCK_STREAM, 0); 然后在绑定本地地址或连接远程地址时需要初始化sockaddr_in结构,其中指定address family时一般设置为AF_INET,即使用IP。 相关头文件中的定义:AF = Address Family                     PF =
ext文件系统机制原理剖析
Biao
04-05 2210
将磁盘进行分区,分区是将磁盘按柱面进行物理上的划分。划分好分区后还要进行格式化,然后再挂载才能使用(不考虑其他方法)。格式化分区的过程其实就是创建文件系统。 文件系统的类型有很多种,如CentOS 5和CentOS 6上默认使用的ext2/ext3/ext4,CentOS 7上默认使用的xfs,windows上的NTFS,光盘类的文件系统ISO9660,MAC上的混合文件系统HFS,网络文件系统.........
地图瓦片整体介绍
多多
06-29 1万+
地图瓦片整体介绍 如今互联网地图的地图内容分为两种,一种是栅格地图瓦片,一种是矢量地图瓦片。 栅格地图瓦片 栅格地图瓦片是一种比较传统的模式,将矢量数据渲染成为256×256像素大小的图片。前端js地图框架,如openlayer和leaflet,按一定规则编排显示,如百度地图,高德地图,天地图等。栅格瓦片地图的渲染技术已经成熟,可以实现栅格渲染,矢量渲染两种。 优点 显示效率高方便传
Linux文件操作
lovefef4的专栏
11-07 261
绝对路径 相对路径 文件的基本操作 pwd : 显示当前所在目录 cd : 进入到某一个目录 ./ 表示当前目录 ../ 表示上一层目录 mkdir : 创建目录 -p :mkdie的参数,递归创建目录。例:mkdir -p /usr/xul/test.t rmdir : 删除一个目录 -p rmdir的参数,递归删除目录 rm :删除文件 -f 强制删除 -r 删除目
关于地图制图的一些理解
qq_14980415的博客
04-02 416
地图的流程分为四步: 0. 基本- 地球物理学 自然地理学 大地测量学 测图 -测量工程 导航工程 近景摄影测量 航空摄影测量 视频摄影测量 航天遥感科学 激光三维测量 工业测量 制图- 地图制图 地图设计 大比例尺数字地图的生产 专题制图 用图- 地理信息系统 空间信息可视化与虚拟现实 地理信息共享与智能服务 地理信息数据挖掘 图像理解与机器学习。 这里主要关于制图 可重点关注下:地图制...
四、Docker镜像讲解
Blank_and
06-23 1934
四、Docker镜像讲解 一、镜像是什么 镜像本质上是一种轻量级,可执行的独立软件包,用来打包软件运行环境和基本运行环境开发的软件,它包含运算某个软件所需要的内容和环境,包括代码、运行时库、环境变量和配置文件等。 所有的应用,直接打包docker镜像就可以直接跑起来 如何得到镜像: 从远程仓库下载 朋友拷贝给你 自己制作镜像 —>DockerFile 二、Docker镜像加载原理 UnionFS(联合文件系统) UnionFS(联合文件系统):Union文件系统(UnionFS)是一种分层、轻
root@DESKTOP-0CU081I:/mysqld_exporter-0.12.1.linux-amd64# ./mysqld_exporter INFO[0000] Starting mysqld_exporter (version=0.12.1, branch=HEAD, revision=48667bf7c3b438b5e93b259f3d17b70a7c9aff96) source="mysqld_exporter.go:257" INFO[0000] Build context (go=go1.12.7, user=root@0b3e56a7bc0a, date=20190729-12:35:58) source="mysqld_exporter.go:258" INFO[0000] Enabled scrapers: source="mysqld_exporter.go:269" INFO[0000] --collect.global_status source="mysqld_exporter.go:273" INFO[0000] --collect.global_variables source="mysqld_exporter.go:273" INFO[0000] --collect.slave_status source="mysqld_exporter.go:273" INFO[0000] --collect.info_schema.innodb_cmp source="mysqld_exporter.go:273" INFO[0000] --collect.info_schema.innodb_cmpmem source="mysqld_exporter.go:273" INFO[0000] --collect.info_schema.query_response_time source="mysqld_exporter.go:273" INFO[0000] Listening on :9104 source="mysqld_exporter.go:283"
06-08
这段信息表明您已经成功启动了mysqld_exporter,并且它正在监听9104端口。mysqld_exporter是一个用于收集MySQL服务器指标的工具,它可以使用Prometheus进行监控。在您的情况下,mysqld_exporter已经启动并正在运行,您可以在Prometheus中配置它以收集MySQL指标并进行监控。如果您有任何其他问题,请随时问我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值