内存取证——volatility
2017-11-04 23:18
489 查看
内存取证——volatility
0x00
最近没有做题,之前放掉的一个杂项题,现在重新看看。0x01
通过hint,了解到内存取证这个神奇的东西,那么不急着做题,先把这个研究研究。0x02
内存取证,是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。(个人理解,欢迎纠正)这里主要使用工具——volatility.
0x03
工具介绍:volatilityvolatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具。
0x04
工具安装我就不多说了,建议安装kali,里面集成许多工具,包括这个。其他环境安装方法——传送门
0x06
作为萌新,我的第一步——阅读帮助volatility -h
在通过阅读博客,大概知道操作流程了。
下面开始解题:
notepad的秘密——解题过程:
● 下载后是一个.raw文件,raw意为“原材料,未加工的”。。
● 进入.raw文件所在目录,输入命令判断该文件内存进程
volatility -f 1.raw imageinfo
● 再查看进程信息, 输入命令
volatility -f 1.raw pslist --profile=WinXPSP2x86
● 进程可以说很多了,但是我们可以利用grep命令,搜索出notepad
●
● 进程中有notepad.exe (从博客里看到的东西可以猜测,这个notepad是一个插件)而且题目就是notepad里的秘密,且hint里提到flag在flag.txt里,所以直接用notepad插件列出其中包含的txt内容
● 输入命令
volatility notepad -f 1.raw pslist --profile=WinXPSP2x86
即可得到flag
-----------更新于2018.319,将丢失的图片补全(之前不会用markdown,导致图片丢失,一直没有发现)--------------
相关文章推荐
- volatility 内存取证模块的安装及使用
- MoonSols && Volatility 内存取证分析(二.搜寻进程的足迹)
- MoonSols && Volatility 内存取证分析(一.搭建取证环境)
- 内存取证——文件
- 苹果内存取证工具volafox
- 苹果内存取证工具volafox
- LiME + volatility2.4进行内存读取
- 苹果内存取证工具volafox
- 计算机取证-崩溃式内存导出(Crash Dumps)
- RetroScope工具:Android设备内存取证 (MD)
- 数字取证技术 :Windows内存信息提取
- cocos2d-x如何优化内存的应用
- oracle 11g 自动内存管理
- 堆,栈,内存泄露,内存溢出介绍
- 如何增加PHP的内存memory
- [Java] 查看java对象的内存占用情况--java 优化系列
- PostgreSQL启动过程中的那些事七:初始化共享内存和信号十四:shmem中初始化PMSignal
- 关于类包含虚函数的内存结构和虚函数调用
- 内存的分配方式与代码耦合度
- 《高质量C/C++编程》学习笔记3(内存)