内存取证复现

最新推荐文章于 2024-08-07 11:53:05 发布
最新推荐文章于 2024-08-07 11:53:05 发布
阅读量581 收藏 3
点赞数
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53067234/article/details/122442050
版权
本文深入探讨了内存取证,包括常用命令如imageinfo、pslist、dumpfiles和memdump等,以及如何在Linux环境中结合grep进行定向扫描。通过案例分析,展示了如何从可疑进程、网络连接、注册表项等角度获取关键信息,最后通过实际操作揭示了如何提取和解析隐藏数据,如zip文件和img镜像中的信息。
摘要由CSDN通过智能技术生成

内存取证

  • 取证文件后缀 .raw、.vmem、.img
  • 常用命令(imageinfo,pslist,dumpfiles,memdump)
  • 可疑的进程(notepad,cmd)
  • 和磁盘取证结合起来考察
  • 了解部分操作系统原理
  • 常见文件后缀dmg,img

volatility基础命令

可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令

imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一参数

pslist:该插件列举出系统进程,但它不能检测到隐藏或者解链的进程,psscan可以

pstree:以树的形式查看进程列表,和pslist一样,也无法检测隐藏或解链的进程

psscan:可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程

cmdscan:可用于查看终端记录

notepad:查看当前展示的 notepad 文本(–profile=winxp啥的低版本可以,win7的不行,可以尝试使用editbox)

filescan:扫描所有的文件列表

linux配合 grep 命令进行相关字符定向扫描,如:grep flag、grep -E ‘png|jpg|gif|zip|rar|7z|pdf|txt|doc’

dumpfiles:导出某

最低0.47元/天 解锁文章
绿二岁
关注
数据分析数字取证-Bravo-1复现方法
jingshuishenlong的专栏
04-07 1373
一、安装靶机环境 1、在win10宿主机上安装虚拟机:VMware-workstation-full-16.0.0-16894299.exe 2、在VMware上新建win7 32位的虚拟机,配置为:1颗1核CPU、1G内存、硬盘60G单文件存储、网卡桥接模式; 3、虚拟机上的光盘上插入镜像文件:cn_windows_7_ultimate_with_sp1_x86_dvd_u_677486.iso 4、重启虚拟机,开始安装。 5、安装完win7后,禁用普通用户,启用administrator用
【2023年全国职业技能大赛“信息安全与评估”赛项】任务4-Linux内存取证WP+靶场环境
人若无名,便可专心练剑
04-20 337
保护数据,捍卫安全,展现技能,赢得荣耀!全国职业技能大赛-信息安全与评估大赛,挑战你的技术,揭示黑客的秘密!加入我们,成为信息安全的守护者!
内存取证工具:MAGNET RAM Capture(v1.20)
12-01
内存取证工具-MAGNET RAM Capture,是由于取证公司MAGNET开发一款免费制作内存镜像的小工具,体积小、还可以对内存镜像设置分段。
渗透测试内存取证
Zgnb173659的博客
08-05 1212
内存取证是指通过分析计算机系统的内存(RAM)来获取有关系统运行状态、用户活动和执行过程的信息。内存取证通常用于数字取证领域,旨在收集关键的计算机数据,以便分析和研究可能发生的安全事件、恶意软件活动或其他计算机相关事件。
Please refer to dump files (if any exist) [date].dump, [date]-jvmRun[N]……解决
最新发布
2301_79423943的博客
08-07 555
1、当打包构建的时候出现这个问题,如果你只是打包部署,那么就是将maven的test禁止可以成功打包。这是进入死循环,导致报错,我们应该把上面的对应标明的方法给注释掉。2、当你是本地服务器启动的时候,即使可以打包,但是还是会报错。
内存取证
welcome.php
05-10 359
如有错误,希望大佬及时指出。 工具:volatility(如果找不到windows版本,可以使用kali linux自带的) volatility.exe -f I:\安装包\新建文件夹\电子取证\内存镜像_爆破-判断内存所处的系统-获得所有用户名和密码Hash,并解hash\ch2.dmp imageinfo volatility -f 镜像名称 imageinfo 用来自动分析内存所属的操作...
内存取证习题复现
m0_50911938的博客
01-10 1523
内存取证 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令 imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一
[ctf misc][wp]一些内存取证的wp(含[2021蓝帽杯北部赛区分区赛]博人的文件)
ShenZ的博客
07-20 5094
wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 volatility.exe -f C:\Users\shen\Downloads\mem.raw --profile=Win7SP1x86_23418 pslist > pslist.txt 从后向前看,最后是内存镜像固定用的dumpit软件和windows运行后台的exe,再上面有三个进程值得注意
内存取证工具
09-30
使用文档+DumpIt+volatity 使用DumpIt获取物理内存,生成物理内存镜像文件,使用volatity对物理内存镜像文件进行分析
The Art of Memory Forensics 内存取证
10-12
The Art of Memory Forensics 内存取证
内存取证软件 Volatility等
04-16
计算机取证技术可以在案件发生以后,采取有效的信息技术手段对存储在网络中的计算机及其相关设备中的数据进行收集、固定与分析,从而寻找出与犯罪事实相符的电子证据。内存取证是当前计算机取证技术研究的热点问题之一,本文件包含各类取证工具及其简单使用与分析文档。
内 存 取 证
lin__ying的博客
01-12 1974
/volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f810a70 -D ././volatility_2.6_lin64_standalone --file=neicun(内存取证文件).vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007f832360 -D ./
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
取证——内存取证
m0_73756016的博客
04-12 1321
内存取证是指在计算机或其他数字设备运行时,通过对其随时存储的内存数据进行采集、分析和提取,以获取有关设备状态、操作过程和可能存在的安全事件的信息。内存取证是数字取证的一个重要分支,用于从计算机的RAM(随机存取存储器)或其他设备的内存中提取关键信息,以便了解设备在特定时间点的状态和活动。
内存取证(电子取证
qq_69100706的博客
07-23 445
内存取证,也被称为RAM取证或易失性内存取证,是指在计算机系统运行时,对物理内存(RAM)进行分析的过程。与硬盘上的数据不同,内存中的数据是易失性的,意味着一旦电源中断,这些数据就会丢失。因此,内存取证需要在系统仍然运行时迅速而准确地进行。
内存取证-朴实无华的取证
ce666666的博客
01-13 1391
前言 看着杂项题越来越多,一道都不能秒,来学习一下。 Volatility 介绍 取证框架,对导出的内存镜像进行分析,获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。 安装 在kali上下载Volatility git clone https://github.com.cnpmjs.org/volatilityfoundation/volatility.git 进入文件夹,输入 python setup.py install 安装插件有些麻
Volatility内存取证:核心命令详解
"本文将详细介绍Volatility工具在内存取证中的常用命令,包括检查内存镜像信息、获取进程信息、提取进程、查看注册表、扫描文件、提取缓存文件、获取CMD历史输入、屏幕快照、用户账户信息以及网络连接状态等关键操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值