Windows内存取证

已于 2024-07-23 19:16:13 修改
阅读量716 收藏 14
点赞数 9
文章标签: 缓存 内存取证
于 2024-01-03 19:27:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshicainiao666/article/details/135370974
版权

 1.分析内存镜像,找到内存中的恶意进程,并将进程的名称作为flag值提交, 格式flag{xx}

 pstree      以树的形式展现进程

 

2.分析内存镜像,找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00} 

目录

 1.分析内存镜像,找到内存中的恶意进程,并将进程的名称作为flag值提交, 格式flag{xx}

2.分析内存镜像,找到黑客访问恶意链接的时间格式flag{2023-01-19 00:00:00} 

3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}

4.题目找到计算机名称,作为flag提交,提交格式flag{}

 5.找到黑客注册的用户名,作为flag提交,提交格式flag{}

iehistory      查看浏览器记录

 

3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx}

根据上题找到恶意连接的时间,就可以找到恶意网站链接

4.题目找到计算机名称,作为flag提交,提交格式flag{}

 hivelist    查看注册表信息    Virtrul为内存地址

 

printkey   是输出的意思

-o  后面跟要查询的内存地址

-K 后面跟路径

通过内存地址找到用户名

 

 5.找到黑客注册的用户名,作为flag提交,提交格式flag{}

-o  后面跟要查询的内存地址

-K 后面跟路径

通过内存地址找到用户名

```
🍬 博主介绍
👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【edusrc漏洞挖掘】 【VulnHub靶场复现】【面试分析】
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋

🍬 博主资源
🎉需要如下资料和培训的可加微信和知识星球(前50名为邀请嘉宾) 知识星球号:9081196🎉
1、全国职业技能大赛——信息安全管理与评估WP+环境
2、全国职业技能大赛——司法技术赛项WP+环境
3、CTF最新资料+相关工具(圈子交流)
4、SRC漏洞挖掘的大量原创报告

```
![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/d7cd5d1c7c7a40d5b8b365227ed805e1.png)


 

co丶unttt
关注
  • 9
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
溯源取证 - windows内存取证 - 中级
weixin_48421613的博客
06-07 2456
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
Windows内存取证的研究与应用
03-15
关于计算机取证的一篇文章,题目为《Windows内存取证的研究与应用》
FTK Imager的强大功能:详细解读内存和磁盘镜像导出
最新发布
m0_68483928的博客
07-16 2164
FTK Imager 是一款功能强大且免费的取证工具,由 AccessData 开发,被广泛应用于法务调查和信息安全领域。它的主要用途是快速创建和分析数据镜像,包括内存镜像和磁盘镜像镜像挂载,文件预览和提取,验证数据的完整性。官方介绍 翻译:FTK Imager 是一款免费的数据预览和成像工具,用于通过创建计算机数据副本而不更改原始证据,以法医可靠的方式获取电子证据。官网:https://www.exterro.com/digital-forensics-software/ftk-imager。
[工具]volatility----Windows内存取证
iteye_16188的博客
01-04 2437
下载地址:[url]https://github.com/volatilityfoundation/volatility[/url] wiki:[url]https://github.com/volatilityfoundation/volatility/wiki[/url] usage:[url]https://github.com/volatilityfoundation/volatili...
Windows内存镜像取证
ping204568238的博客
02-29 714
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号。4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令。5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容。需要指定偏移量 -Q 和输出目录 -D。
内存取证
JackLiu16的博客
10-26 1271
(6) 基于系统冷启动的内存获取方法 该方法的原理如下:在系统关机后,物理内存RAM用于保存数据的电磁信号并没有即刻消失.通过利用液氮冷却相关物理内存条,则其中所保存信息的消磁时间将会延长.在冷启动后,利用专门定制的内核模块就能获取物理内存中残留的信息该方法尽管能够获取部分物理内存数据用于事后取证分析,但存在如下缺陷: ① 受环境温度影响大,易丢失信息;② 要求操作及时,实现较困难;③
Windows环境取证
stillaway的博客
03-13 1620
电子取证里的Windows环境取证
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
介绍windows内存证技术和如何对windows内存取证
04-23
Windows内存取证是指通过技术手段获取Windows操作系统的内存数据,以分析和提取有价值的信息,以支持数字取证工作。其中,Windows内存证技术主要包括两个方面的内容:内存获取技术和内存分析技术。内存获取技术主要...
windows内存取证的内容和方法分别有哪些?
04-23
Windows内存取证可以获取被攻击者的操作系统运行时期的内存信息,帮助取证人员查明攻击者行为、找到攻击文件、定位攻击源头等信息。常用的Windows内存取证方法包括以下几种: 1. 内核内存取证法:通过直接访问物理...
Windows内存取证的内容和方法分别有哪些?
04-24
对于Windows内存取证,内容和方法如下: 1. 内容: - 内存中存在的进程、线程、文件等信息 - 内核对象 - 系统信息、配置信息等 - 应用程序的内存信息 - 网络连接信息 2. 方法: - 静态取证:将内存中的数据...
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
redline内存分析工具
12-13
Fireeye安全公司发布的一款针对内存分析的工具,可对内存数据进行整理和分析
简单的内存取证介绍
qq_41814777的博客
10-26 1831
定义: 通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据。 内存是操作系统及各种软件交换数据的区域,数据易丢失(Volatile),通常在关机后数据很快就消失。(是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。) 工具介绍:volatility volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统...
windows下volatility3-2.7.0内存取证工具安装及遇到的问题解决方法
weixin_44697846的博客
06-02 1764
windows下volatility3-2.7.0内存取证工具安装及问题解决方法
墨者 - Windows硬盘文件分析取证(恢复删除文件)
吃肉唐僧的博客
07-15 983
下载文件,根据题目提示 用diskgenius打开 dg1.txt文件,但是是MD5加密之后 解密后得到数据值
全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析(超详细解析)
Jay
12-20 2142
4.从内存文件中找到异常程序植入到系统的开机自启痕迹,使用Volatility工具分析出异常程序在注册表中植入的开机自启项的Virtual地址,将Virtual地址作为Flag值提交;DLL dlllist -p 查看一下这个进程的查看一下这个进程的DLL,发现程序是在temp目录下执行的,那这个应该就是恶意软件进程了。5.从内存文件中找到异常程序植入到系统的开机自启痕迹,将启动项最后一次更新的时间作为Flag值(只提交年月日,例如:20210314)提交。
java应用内存镜像分析
准备文房四宝,写下 Hello world!
03-14 322
1.查询java进程id windows 下命令 tasklist /fi "imagename eq java.exe"   linux 下命令 ps -ax|grep java   2.使用jmap 命令生成镜像文件   Example: jmap -dump:live,format=b,file=heap.bin <pid> jmap -dump:f...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值