内存取证——文件
来源:互联网 发布:苹果手机不能用4g网络 编辑:程序博客网 时间:2024/06/16 01:51
文件 notepad里的秘密(二)
0x00
文接上文,前一篇关于内存取证读取进程。
这篇总结一下,内存取证读取文件。
0x01
step1:常规操作,先读取内存类型:
step2:可以得到profile类型 WinXPSP2x86 -f 指定文件。看进程?还像上一题?不存在的!
出来很多文件,但是没有notepad进程。
step3:昨天阅读帮助,今天又读了一遍,发现我们除了进程,还可以查看文件,
命令:volatility -f 2.raw pslist --profile=WinXPSP2x86
发现文件很多,又因为提示说:在flag.txt里,所以grep flag.txt
果然有收获!
step4:下面就是读这个文件呗!问题来了,又不是在我们电脑上的文件,怎么读?看了强哥的博客,明白了!
dumpfile命令!
各个参数都研究了一遍,最后一个参数是新遇到的,地址偏移量。
百度得:文件中的地址与内存中表示不同,它是用偏移量(File offset)来表示的。在SoftICE和W32Dasm下显示的地址值是内存地址
step5 :这个文件已经保存到我的机器上,直接cat,就得到flag了!
阅读全文
0 0
- 内存取证——文件
- 内存取证——volatility
- 内存取证
- 第五章:iOS取证和数据恢复 ——5.2 理解文件和磁盘加密
- 第五章:iOS取证和数据恢复 ——5.8 文件和数据恢复
- Android取证实战——书摘
- 苹果内存取证工具volafox
- 第五章:iOS取证和数据恢复 ——5.3 非越狱设备上的取证
- 第五章:iOS取证和数据恢复 ——5.5 越狱设备上的取证
- MoonSols && Volatility 内存取证分析(一.搭建取证环境)
- 时间简史——计算机取证中的时间研究
- 数字取证技术 :Windows内存信息提取
- RetroScope工具:Android设备内存取证
- 取证镜像文件转虚拟机文件
- Linux文件恢复工具和取证工具
- 计算机取证-崩溃式内存导出(Crash Dumps)
- RetroScope工具:Android设备内存取证 (MD)
- 数据恢复/电子取证 非常有用的python库——Construct
- 操作系统:经典进程同步问题(2)哲学家进餐问题
- SubList分页_001_分页概述
- Java面试(编程)——统计字符串中重复字符的个数
- 解惑java下dao,model,service,impl,util包名含义
- 浅谈this指针
- 内存取证——文件
- python-配置pip源
- 学习笔记TF058:人脸识别
- linux虚拟机IP配置及SVN服务环境搭建
- LinkedList源码笔记
- 大数据(三十一)HBASE【Hbase Shell 常用命令】
- 内存漫谈
- 人脸检测——DDFD
- [Java读书笔记]之Swing