linux 内存取证_Linux硬盘和内存镜像取证

最新推荐文章于 2024-02-29 00:21:05 发布
最新推荐文章于 2024-02-29 00:21:05 发布
阅读量885 收藏 2
点赞数
文章标签: linux 内存取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33427476/article/details/113398886
版权

Linux硬盘和内存镜像取证在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。

准备工作

一台被镜像取证的电脑运行的Linux系统

一台电脑运行的Windows系统

两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘数据,是通过网络传输到windows系统的虚拟磁盘上,所以网络速度至关重要。

安装软件

在Linux系统上,下载RFSD并运行,RFSD是跨平台的文件操作服务,通过该服务可实现读取Linux硬盘数据。

执行如下命令:

wget http://ranfs.com/pub/rfsd/all/get.sh -O -|sh -s /tmp/rfsd

或使用curl

curl http://ranfs.com/pub/rfsd/all/get.sh -o -|sh -s /tmp/rfsd

命令解释:假定安装/tmp/rfsd目录,由于要读取硬盘数据,这里可能会要求输入root密码。

如果需要提取内存镜像 cd pmem 编译并加载驱动,如下:

cd pmem

make pmem

sudo insmod ./pmem.ko

防火墙配置,默认情况下,脚本自动配置了系统防火墙,放行了使用的端口,如果使用了其它防火墙,请手动放行端口,6688为rfp服务端口&#

最低0.47元/天 解锁文章
coco-young
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1205
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
制作Linux内存镜像+制作对应的volatility profile
ShenZ的博客
12-13 5282
制作Linux内存镜像+制作对应的volatility profile 文章目录制作Linux内存镜像+制作对应的volatility profile制作Linux内存镜像lmg安装制作volatility profile1.创建vtypes2.获取符号表3.制作用户配置文件使用profilevolatility取证Linux命令 制作Linux内存镜像 工具有很多,我这里用lmg 理论上lmg可以把linux内存文件(memory.lime),volatility profile一次性全整出来,但是我不知
Windows内存镜像取证
ping204568238的博客
02-29 674
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号。4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令。5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容。需要指定偏移量 -Q 和输出目录 -D。
linux 内存镜像提取命令,内存镜像获取工具推荐
weixin_36147027的博客
05-08 2528
Windows系统:moonsols,官方网站:http://www.moonsols.com/,有免费版和收费版,支持获取内存镜像,文件转换等功能,目前支持到Windows10。moonsols可以处理休眠文件(Hiberfil.sys),crashdump文件和raw memory dump文件,crashdump可以被winDBG加载进行分析,所以最终要转化为crashdump文件。1、获...
linux 内存镜像提取命令,从 Rescue System 中提取 InitRamFs 映像文件
weixin_42471893的博客
05-08 556
昨天晚上 Jactry 使用 Rescue for Lemote2f 打包龙芯笔记本上的操作系统,发现 Ext4 分区挂载不了,检查发现是内核没有编译进 Ext4 文件系统的支持(当时太粗心,忘记了 :))。准备重新编译这个 Rescue System,但是当时制作的 InitRamFs 已经早就没有了,在 Wuzhangjin 的帮助下成功的从 Rescue System 中提取出了映像文件。R...
一键生成linux内核镜像,Linux/Centos Mondo 一键部署、镜像恢复,快速部署
weixin_35517006的博客
05-08 325
一.简介Mondo Rescue是一个开源免费的故障恢复和备份工具,用户可以轻松地创建系统(Linux或Windows)克隆或备份的ISO镜像,可以将这些镜像存放在CD、DVD、磁带、USB设备、硬盘和NFS上。Mondo Rescue还可以用来快速恢复或者重新部署工作镜像到其他系统中,万一碰到数据丢失,你还可以从备份介质恢复尽可能完整的系统数据。Mondo Rescue(以下简称Mondo)可以...
Linux硬盘以及镜像挂载流程
Flower Sea
10-25 1417
第一步: 了解linux系统分区的原理 一个硬盘可以分成多个分区 用户不能直接操作硬件, 需要 让硬件和系统的目录 建立映射关系(挂载) 才可以操作, 称为 挂载 第二步: 查看系统分区情况 第三步: 虚拟机 增加 硬盘 选中 目标虚拟机 右键 设置 选中 硬盘 点击 添加按钮 点击 下一步 选择 创建新虚拟磁盘 指定 磁盘大小 完成 注意: 重启 才可以生效 第四步: 分区 f...
内存镜像转储取证
01-13
标题中的"内存镜像转储取证"是指通过特定工具,如DumpIt.exe,将当前计算机的内存内容以原始(raw)格式保存到硬盘上,生成一个内存镜像文件。这个文件包含了系统在某一时刻的所有活动,包括操作系统内核、运行的...
UNIX/Linux系统取证之信息采集案例
02-02
在UNIX/Linux取证时很多系统和网络信息是短时存在的可谓是转瞬即逝,如何准确的捕捉到哪些蛛丝马迹呢?网络安全人员需要具有敏锐的观察力和丰富的经验下面例举几个常用的方法。首先,在收集主机上启动一个监听进程:...
Linux硬盘文件分析取证-ssh1.img 题目
03-28
总的来说,Linux硬盘文件分析取证是一个涉及多方面知识的复杂任务,包括Linux系统管理、文件系统分析、网络协议理解、密码学和取证技术。通过对`ssh1.img`文件的深入研究,我们可以学习和提升这些技能,同时在CTF...
【2023年全国职业技能大赛“信息安全与评估”赛项】任务4-Linux内存取证WP+靶场环境
最新发布
04-20
而Kali Linux则是一个专门用于渗透测试和安全审计的操作系统,内置了大量的安全工具,包括内存取证工具。 Volatility是一款强大的开源内存取证框架,它能够在不触及硬盘的情况下分析运行中的系统或内存转储。...
内存取证分析基础,命令整理,包含vol2和vol3
ntrybw的博客
09-11 3454
C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址)-s(SAM的virtual值)此命令能获取密码的hash值,但是我个感觉没什么用,不如直接hashdump。netscan链接协议,本地地址,链接状态,,监听端口。
linux进程内存映像,实战演练必修课|进程内存Dump与内存镜像Dump常用工具
weixin_32570803的博客
04-29 1468
原标题:实战演练必修课|进程内存Dump与内存镜像Dump常用工具「中睿大学」是中睿天下建设的网络攻防学习、交流与分享平台。聚焦「实战对抗」,基于中睿天下多年一线攻防实战经验,分享行业知识及优秀实践,帮助合作伙伴及用户等提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等攻防能力。这次,我们走进「中睿大学」系列课程之“内存取证第一步——进程内存Dump与内存镜像Dump”。#内存转储#...
linux 镜像_Linux硬盘内存镜像取证
weixin_39785400的博客
11-28 336
Linux硬盘内存镜像取证 在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。 准备工作一台被镜像取证的电脑运行的Linux系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘...
linux取证内存取证
NFMSR的博客
07-19 2822
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
那年,一步一步学linux c ---内存映像~~那些事~~
yuanjinxiu
03-03 291
转载请注明出处:http://blog.csdn.net/muge0913/article/details/7315197 内存映像其实就是在内存中创建一个和外存文件完全相同的映像。用户可以将整个文件映射到内存中也可以部分映射到内存。系统会将对内存映像的改动如实的反映到外存文件中。从而实现了通过内存映像对外存文件的操作。 内存映像的特点: 1、 可以加快对IO的操作速度。 2、 用...
linux进程内存映象解析
boboboke
08-25 4499
一、程序如何转化为进程程序转化为进程一般有两个步骤: 1、内核会将程序从磁盘读入内存,为程序分配内存空间 2、内核会为进程保存PID以及相应的状态信息(保存在task_struct中),将进程放在运行队列中等待执行。 程序转变为进程以后就可以被操作系统调度程序执行了。二、内存映象内存映象指的是内核如何在内存中存放可执行程序。 在程序转化为进程的过程中,操作系统可直接将可执行程序复制到内存中,
linux内存取证例题
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证的例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值