内存取证

runwu2204 Lv6
  2023-07-22 22:13:27 2023-07-22 22:13:27 创建   2023-10-23 12:08:04 2023-10-23 12:08:04 更新    

只是一些草稿

windows

取证工具地址volatility3

参考(42条消息) 内存取证-volatility工具的使用 (史上更全教程,更全命令)_路baby的博客-CSDN博客

可以在插件后面跟-h获取该插件的帮助

1
2
3
4
5
6
7
8
9
10
11
12
vol -f "windows内存转储地址"  windows.info #分析该内存转储的操作系统等其余信息
vol -f "windows内存转储地址"  windows.pslist #会分析该内存的运行进程
vol -f "windows内存转储地址" windows.filescan #分析有什么文件,其中地址是physaddr
vol -f "windows内存转储地址" windows.dump -h
usage: volatility windows.dumpfiles.DumpFiles [-h] [--pid PID] [--virtaddr VIRTADDR] [--physaddr PHYSADDR]

options:
  -h, --help           show this help message and exit
  --pid PID            Process ID to include (all other processes are excluded)
  --virtaddr VIRTADDR  Dump a single _FILE_OBJECT at this virtual address
  --physaddr PHYSADDR  Dump a single _FILE_OBJECT at this physical address
  vol -f "windows内存转储地址" windows.dump --physaddr "具体文件地址,详情可见windows.filescan插件的结果" #可以将内存文件输出出来

如果无法输出也可以通过diskgenius挂载该转储文件(作为虚拟硬盘),具体方法如下

1.将其作为虚拟硬盘打开

image-20230723145957046

2.右下角查看文件类型改为所有文件

image-20230723150121254

3.右键新出现的虚拟硬盘,选择已删除或格式化后的文件恢复

image-20230723150714113

即可打开对应的镜像获取文件

image-20230723150407151

例题

[巅峰极客 2022easy_Forensic - Runwu2204](https://runwu2204.github.io/2023/07/23/CTF WP/Misc/巅峰极客 2022easy_Forensic/)

linux

  • 标题: 内存取证
  • 作者: runwu2204
  • 创建于 : 2023-07-22 22:13:27
  • 更新于 : 2023-10-23 12:08:04
  • 链接: https://runwu2204.github.io/2023/07/22/Misc/取证/内存取证/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
评论
目录
内存取证
  1. 只是一些草稿
  • windows
    1. 例题
  • linux