内存取证——volatility
来源:互联网 发布:dns 默认端口 编辑:程序博客网 时间:2024/06/06 17:39
内存取证——volatility
0x00
最近没有做题,之前放掉的一个杂项题,现在重新看看。
0x01
通过hint,了解到内存取证这个神奇的东西,那么不急着做题,先把这个研究研究。
0x02
内存取证,是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。(个人理解,欢迎纠正)
这里主要使用工具——volatility.
0x03
工具介绍:volatility
volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具。
0x04
工具安装我就不多说了,建议安装kali,里面集成许多工具,包括这个。
其他环境安装方法——传送门
0x06
作为萌新,我的第一步——阅读帮助
volatility -h
在通过阅读博客,大概知道操作流程了。
下面开始解题:
notepad的秘密——解题过程:
● 下载后是一个.raw文件,raw意为“原材料,未加工的”。。
● 进入.raw文件所在目录,输入命令判断该文件内存进程
volatility -f 1.raw imageinfo
● 可以得到profile类型 WinXPSP2x86 -f 指定文件
● 再查看进程信息, 输入命令
volatility -f 1.raw pslist --profile=WinXPSP2x86
● 进程可以说很多了,但是我们可以利用grep命令,搜索出notepad
●
● 进程中有notepad.exe (从博客里看到的东西可以猜测,这个notepad是一个插件)而且题目就是notepad里的秘密,且hint里提到flag在flag.txt里,所以直接用notepad插件列出其中包含的txt内容
● 输入命令
volatility notepad -f 1.raw pslist --profile=WinXPSP2x86
即可得到flag
- 内存取证——volatility
- MoonSols && Volatility 内存取证分析(一.搭建取证环境)
- 内存取证——文件
- MoonSols && Volatility 内存取证分析(二.搜寻进程的足迹)
- 内存取证
- Android取证实战——书摘
- 苹果内存取证工具volafox
- 第五章:iOS取证和数据恢复 ——5.3 非越狱设备上的取证
- 第五章:iOS取证和数据恢复 ——5.5 越狱设备上的取证
- 时间简史——计算机取证中的时间研究
- 数字取证技术 :Windows内存信息提取
- RetroScope工具:Android设备内存取证
- 计算机取证-崩溃式内存导出(Crash Dumps)
- RetroScope工具:Android设备内存取证 (MD)
- 数据恢复/电子取证 非常有用的python库——Construct
- 如来分形 大圣败北 ——如来会分形的取证调查
- 手机取证——android手机falsh物理镜像获取概述
- 第五章:iOS取证和数据恢复 ——5.1 iOS文件系统
- Tensorflow学习与应用四
- 笨办法学python习题12 提示别人
- 【素数环】递归思维如层层梦境
- Elasticsearch 5.x Java api Aggregations(聚合)
- java作业
- 内存取证——volatility
- Android手机动态获取权限
- 译OpenCms-10.5.3—— 1. 背景话题【Background topics】
- 实验四 队列的基本操作
- 设计一个没有扩容负担的堆结构
- P5-C开发笔试题三道
- List集合删除元素的时候删除不掉
- HTTP表单怎么理解
- jsp的exception对象