linux 内存取证_内存取证工具-volatility、foremost

最新推荐文章于 2024-05-15 02:26:52 发布
最新推荐文章于 2024-05-15 02:26:52 发布
阅读量598 收藏 1
点赞数
文章标签: linux 内存取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39747630/article/details/113398887
版权
本文介绍了在Linux环境下使用Volatility工具进行内存取证的过程,包括确定dump文件profile、获取进程信息、查看注册表以及保存进程数据到dmp文件。此外,还提到了使用Foremost恢复文件的命令和参数,以及binwalk工具在固件分析中的应用。
摘要由CSDN通过智能技术生成

内存取证

1. 内存取证工具volatility

猜测dump文件的profile值

root@kali:~/CTF# volatility -f mem.vmem imageinfo

Volatility Foundation Volatility Framework 2.6

INFO : volatility.debug : Determining profile based on KDBG search...

Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)

AS Layer1 : IA32PagedMemoryPae (Kernel AS)

AS Layer2 : FileAddressSpace (/root/CTF/mem.vmem)

PAE type : PAE

DTB : 0xb18000L

KDBG : 0x80546ae0L

Number of Processors : 1

Image Type (Service Pack) : 3

KPCR for CPU 0 : 0xffdff000L

KUSER_SHARED_DATA : 0xffdf0000L

Image date and time : 2016-05-03 04:41:19 UTC+0000

Image local date and time : 2016-05-03 12:41:19 +0800

root@kali:~/CTF#

看到,profile可能是WinXPSP2x86

直接获取volshell

shell的命令:

dt("内核关键数据结构名称"")

如: dt("_PEB")

root@kali:~/CTF# volatility -f mem.vmem --profile=WinXPSP2x86 volshell

Volatility Foundation Volatility Framework 2.6

Current context: System @ 0x821b9830, pid=4, ppid=0 DTB=0xb18000

Welcome to volshell! Current memory image is:

file:///root/CTF/mem.vmem

To get help, type 'hh()'

>>> dt("_PEB")

'_PEB' (528 bytes)

0x0 : InheritedAddressSpace ['unsigned char']

0x1 : ReadImageFileExecOptions ['unsigned char']

0x2 : BeingDebugged ['unsigned char']

0x3 : SpareBool ['unsigned char']

0x4 : Mutant ['pointer', ['void']]

0x8 : ImageBaseAddress ['pointer', ['void']]

0xc : Ldr ['pointer', ['_PEB_LDR_DATA']]

0x10 : ProcessParameters ['pointer', ['_RTL_USER_PROCESS_PARAMETERS']]

0x14 : SubSystemData ['pointer', ['void']]

0x18 : ProcessHeap ['pointer', ['void']]

0x1c : FastPebLock ['pointer', ['_RTL_CRITICAL_SECTION']]

0x20 : FastPebLockRoutine ['pointer', ['void']]

0x24 : FastPebUnlockRoutine ['pointer', ['void']]

0x28 : EnvironmentUpdateCount ['unsigned long']

0x2c : KernelCallbackTable ['pointer', ['void']]

0x30 : SystemReserved ['array', 1, ['unsigned long']]

0x34 : AtlThunkSListPtr32 ['unsigned long']

0x38 : FreeList ['pointer', ['_PEB_FREE_BLOCK']]

0x3c : TlsExpansionCounter ['unsigned long']

0x40 : TlsBitmap ['pointer', ['void']]

0x44 : TlsBitmapBits ['array', 2, ['unsigned long']]

0x4c : ReadOnlySharedMemoryBase ['pointer', ['void']]

0x50 : ReadOnlySharedMemoryHeap ['pointer', ['void']]

0x54 : ReadOnlyStaticServerData ['pointer', ['pointer', ['void']]]

0x58 : AnsiCodePageData ['pointer', ['void']]

0x5c : OemCodePageData ['pointer', ['void']]

0x60 : UnicodeCaseTableData ['pointer', ['void']]

0x64 : NumberOfProcessors ['unsigned long']

0x68 : NtGlobalFlag ['unsigned long']

0x70 : CriticalSectionTimeout ['_LARGE_INTEGER']

0x78 : HeapSegmentReserve ['unsigned long']

0x7c : HeapSegmentCommit ['unsigned long']

0x80 : HeapDeCommitTotalFreeThreshold ['unsigned long']

0x84 : HeapDeCommitFreeBlockThreshold ['unsigned long']

0x88 : NumberOfHeaps ['unsigned long']

0x8c : MaximumNumberOfHeaps ['unsigned long']

0x90 : ProcessHeaps ['pointer', ['array', at 0x7f88d57decf8>, ['pointer', ['_HEAP']]]]

0x94 : GdiSharedHandleTable ['pointer', ['void']]

0x98 : ProcessStarterHelper ['pointer', ['void']]

0x9c : GdiDCAttributeList ['unsigned long']

0xa0 : LoaderLock ['pointer', ['void']]

0xa4 : OSMajorVersion ['unsigned long']

0xa8 : OSMinorVersion ['unsigned long']

0xac : OSBuildNumber ['unsigned short']

0xae : OSCSDVersion ['unsigned short']

0xb0 : OSPlatformId ['unsigned long']

0xb4 : ImageSubsystem ['unsigned long']

0xb8 : ImageSubsystemMajorVersion ['unsigned long']

0xbc : ImageSubsystemMinorVersion ['unsigned long']

0xc0 : ImageProcessAffinityMask ['unsigned long']

0xc4 : GdiHandleBuffer ['array', 34, ['unsigned long']]

0x14c : PostProcessInitRoutine ['pointer', ['void']]

0x150 : TlsExpansionBitmap ['pointer', ['void']]

0x154 : TlsExpansionBitmapBits ['array', 32, ['unsigned long']]

0x1d4 : SessionId ['unsigned long']

0x1d8 : AppCompatFlags ['_ULARGE_INTEGER']

0x1e0 : AppCompatFlagsUser ['_ULARGE_INTEGER']

0x1e8 : pShimData ['pointer', ['void']]

0x1ec : AppCompatInfo ['pointer', ['void']]

0x1f0 : CSDVersion ['_UNICODE_STRING']

0x1f8

最低0.47元/天 解锁文章
weixin_39747630
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Electron理论知识 3 - 专业名词解释
liuzhen007的专栏
05-26 944
名词解释 1.MMCSS(Multimedia Class Scheduler Service) 多媒体类调度服务,用来获取不同线程的优先级。
第二周——学习内存取证神器volatility的使用
weixin_43721828的博客
03-18 2331
第二周——学习内存取证神器volatility的使用 volatility -f mem.raw imageinfo#这个命令可以用来获取内存镜像的摘要信息,比如系统版本,硬件构架等 第一个就是最有可能的镜像文件的版本,最可能是Win7SP1x86_23418 Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search...
mimikatz2.0
06-26
获取系统密码工具,法国程序员开发的轻量级调试器,可以帮助安全测试人员抓取Windows密码,压缩包密码:novirus。由于属于黑客工具,杀毒软件会报毒,使用时可以暂时关闭实时扫描,或者设置例外处理。解压后,参考命令行提示即可方便使用
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
2401_85013565的博客
05-15 1273
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
Volatility使用笔记
yyk82p的博客
12-19 1397
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态
linux 内存取证_内存取证工具volatility
weixin_29256771的博客
01-17 1134
猜测dump文件的profile值root@kali:~/CTF# volatility -f mem.vmem imageinfoVolatility Foundation Volatility Framework2.6INFO : volatility.debug : Determining profile based on KDBG search...Suggested Prof...
Linux基础命令
weixin_47397805的博客
01-08 213
1.查看当前目录下的所有文件和目录 2.查询当前目录下的隐藏文件 3.进入根目录 4.查看内存 5.查看磁盘信息 6.查看当前所在的位置 7.创建目录(新增 8.删除目录 9.创建文件 10.查看指定的进程 11.查看指定的端口号 12.查看CPU 13.查看ip 14.查看网络 ...
内存取证 volatility
07-12
总的来说,Volatility是一个强大的内存取证工具,它能够帮助安全专家和法医分析师在复杂的安全事件中揭露关键信息。熟练掌握Volatility的使用,不仅可以提高调查效率,还能为网络安全防御提供宝贵的情报。
volatility3-develop-内存镜像分析工具
最新发布
06-30
Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证Volatility是一款开源内存取证框架,能够对导出的内存...
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
volatility_2.6_win64system_standalone.rar
10-08
1. **多平台支持**:Volatility不仅适用于Windows,还支持Linux、Mac OS X等多种操作系统,实现了跨平台的内存取证分析。 2. **模块化设计**:Volatility由一系列插件组成,每个插件对应一个特定的分析任务,用户...
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
volatility获取哈希值报错
Takarada Rikka的博客
08-08 901
python vol.py hashdump -d -d -f "Windows 7-Snapshot2.vmem" --profile=Win7SP1x64 -y 0xfffff8a000024010 -s 0xfffff8a001294410 执行后报错,原因是缺少distorm3和pycrypto模块,但是这2个使用pip install 来安装又报错。 最后经过一番周折终于可以安装了...
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Linux】gdb工具使用
holle_world_ldx的博客
08-23 418
gdb工具使用
Volatility3内存取证工具使用详解
Aluxian_的博客
09-28 1万+
Volatility是一款开源的内存取证分析工具,是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境;这里就介绍volatility3的使用。因为这个是windows的镜像 所以都是windows命令 大家可以使用Linux插件进行尝试个人的感觉 还是觉得!
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1214
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
内存取证工具Volatility学习
crowsec
09-14 6612
Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。volatility(挖楼推了推) 是一个开源的框架,能够对导出的内存镜像进行分析,能够通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。
Volatility安装遇到的问题之mimikatz插件安装
qq_42878458的博客
08-23 2395
数字取证学习
windows2003内存取证
10-27
首先,需要使用内存取证工具,如Volatility Framework等,来对内存进行分析和提取。这些工具可以从内存镜像中提取出进程、线程、打开的文件、网络连接等信息,从而帮助取证人员获取到被研究系统的相关证据。 其次,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值