内存 取证

已于 2023-03-08 13:50:21 修改
阅读量204 收藏
点赞数
文章标签: 网络安全 Powered by 金山文档
于 2023-03-08 09:40:34 首次发布
原文链接:https://blog.csdn.net/weixin_43891422/article/details/107852416
版权

  1. 查看内存镜像信息

发现系统版本为WinXPSP2x86

2. 获取进程信息

发现可疑文件smss.exe

3. 提取进程

提取可疑文件

  • --profile的参数为系统版本

  • -p的参数为进程ID

  • -D的参数为保存文件的路径

4. 查看dump

strings -e l 536.dmp | grep flag

-e的参数为编码方式,其中l为16-bit编码

发现两个可疑文件,flag.png flag.jpg

5. 获取浏览器浏览历史

发现hiint.txt

6. 扫描并提取文件

0x0000000002456028

使用dumpfiles提取文件

  • -Q的参数为 内存地址

  • --dump-dir的参数为导出文件的目录

使用HXD 或者WinHex 查看文件

保存出来命名flag.jpgh和flag.png

7. 图片分析Stegsolve需要Java环境

用Stegsolve打开其中一个文件,

打开其中一个文件,然后点击Analyse->Image Combiner打开另一张图片,点击>看到二维码最多的图WX扫一扫,发音就是Flag

欧根亲王本王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内存取证——基础知识(volatility内存取证
记录并分享学习安全的知识点..
01-11 864
内存取证——基础知识(volatility内存取证
Wc3Dump (MQP解压内存提取工具)
06-14
Wc3Dump (War3文件内存提取工具) 制作:RahXephon 功能和使用:首先运行config配置解压路径和解压文件,保存配置后运行WAR3,再使用Wc3DumpLoader启动程序,WAR3.exe会提示启动成功.之后只要正常的进行游戏就可以了,当游戏结束后在制定文件夹内可以找到需要的解压文件(注意这里的文件是最后运行的地图的文件,对于在MPQ中的同名文件也会被解压) 注意:建议使用窗口模式运行WAR3后使用本程序,使用解压时进行提示功能会在解压文件前弹出对话框提示当前正在解压的文件名,但是此功能在全屏模式下可能会出问题.
文件转存内存内存读取文件和文件读写流很详细....
05-26
文件读进内存,存储成内存块,从内存块读取数据重新生成文件。 文件流读取和写入...很详细..
内存取证工具
09-30
使用文档+DumpIt+volatity 使用DumpIt获取物理内存,生成物理内存镜像文件,使用volatity对物理内存镜像文件进行分析
如何在JAVA dump文件/内存镜像中查找变量的值
jioulongzi的专栏
03-17 498
很多时候,当程序OOM或者其他异常情况时,我们需要搞清楚当时应用内部数据情况,所有某些时候我们需要查看当时内存镜像中某些成员变量的值。比如查看当时内存实例中数据库账号,密码是否正确等等。直接进入正题,我们首先搭建一个测试使用的springboot项目,除了基本模板代码外,剩余代码如下:我们预期目标为通过镜像实例去查看bbb项目搭建成功后,启运行项目,接着使用命令导出运行中的应用的内存镜像接下来使用分析工具,这里使用:MemoryAnalyzer, 大家没有可以自行去下载。
内存取证 volatility
07-12
内存取证网络安全与犯罪调查中的一个重要领域,它涉及到在计算机系统关机或重启后,从内存映像中提取和分析数据。Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等...
内存取证的框架
01-20
内存取证是一种重要的网络安全技术,主要用于检测和分析计算机系统中的恶意活动。它主要关注的是系统运行时的状态,即内存中的信息,因为很多恶意软件为了逃避传统静态分析,会选择在内存中执行其恶意行为。"内存...
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
CTF内存取证入坑指南!稳!题目
03-28
内存取证网络安全领域中一种重要的技术手段,尤其在应对高级持续性威胁(APT)和恶意软件分析时,它能够提供实时、动态的数据,揭示攻击者的行为和系统状态。本篇文章将深入探讨内存取证的关键概念,并重点介绍...
内存取证工具 MAGNET RAM Capture
11-09
内存取证是信息安全领域中至关重要的一环,它涉及在系统运行时获取并分析内存中的数据,以寻找潜在的犯罪证据、安全漏洞或者恶意软件活动。MAGNET RAM Capture是一款专门用于此目的的专业工具,其小巧的体积(大约...
The Art of Memory Forensics 内存取证
10-12
The Art of Memory Forensics 内存取证
内存取证系列4
SwBack的博客
11-07 1119
实际上看到Important应该先看这个文件的,但实际做的时候,一开始并未匹配目录,再复习的时候才直接在匹配中添加了目录。想要读取一个被删出的文件内容,volatility 本身是具备这么个功能,虽然有点限制,但是在这里明显够用。简述 文件被删除后,如果MFT的数据没有被擦除,基本上都可以恢复。直接匹配该文件,通过MFT的$DATA区可以看到被删除的txt文本内容就是flag。重点在于被删除了,首先我们要确定被删除的文件是什么.时间:2022-5-6 20:16。对图片进行分析过后,发现并无异常。
内存取证基础命令
qq_58875293的博客
10-23 220
volatility -f file --profile=Win7SP1x64 memdump -p{对应的pid} -D ./ 进程里面可能会隐藏flag等关键信息,可以使用strings -e l xxx.dmp | grep flag。volatility -f file --profile=Win7SP1x64 procdump -p{对应的pid} -D ./ 导出exe程序。-y (注册表 system 的 virtual 地址 )-s (SAM 的 virtual 地址)
内存取证习题复现
m0_50911938的博客
01-10 1497
内存取证 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 可以使用 -h 参数获取使用方法和插件介绍,列举几个常用到的命令 imageinfo:显示目标镜像的摘要信息,这常常是第一步,获取内存的操作系统类型及版本,之后可以在 –profile 中带上对应的操作系统,后续操作都要带上这一
内存取证——文件
苟有恒,必有三更眠,五更起。
11-05 3017
文件 notepad里的秘密(二)0x00文接上文,前一篇关于内存取证读取进程。这篇总结一下,内存取证读取文件。0x01step1:常规操作,先读取内存类型:step2:可以得到profile类型 WinXPSP2x86 -f 指定文件。看进程?还像上一题?不存在的!出来很多文件,但是没有notepad进程。step3:昨天阅读帮助,今天又读了一遍,发现我们除了进程,还可以查看文件,命令:vola...
内存取证(仅个人思路)
旺仔Sec&blog
11-23 4261
volatility -f test2.raw imageinfo 获取镜像详细信息 profile参数很重要 volatility -f test2.raw --profile=Win7SP1x64 hashdump 获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解 如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码 还有一种是 lsadump 能出来断断续续的密码 不是完整的 ...
数字取证技术 :Windows内存信息提取
即刻出发吧
04-05 5320
数字取证技术 :Windows内存信息提取。后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析?因为在内存
内存取证工具 volatility 使用说明
u014794949
03-29 5007
命令格式 volatility [plugin] -f [image] --profile=[profile] 在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统 volatility imageinfo -f file.raw 知道镜像后,就可以在 –profile 中带上对应的操作系统 常见的插件 查看当前展示的 notepad 文本 volatility notepad -f ...
内存取证分析基础,命令整理,包含vol2和vol3
ntrybw的博客
09-11 3429
C:\Users\余不为\Desktop\众多软件工具\内存\VolatilityWorkbench-v2.1>volatility.exe -fD:\新建文件夹\memdump.mem --profile Win7SP1x86_23418 netscan。hushdump -y(注册表 system的virtual地址)-s(SAM的virtual值)此命令能获取密码的hash值,但是我个感觉没什么用,不如直接hashdump。netscan链接协议,本地地址,链接状态,,监听端口。
linux内存取证例题
最新发布
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证的例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值