工具下载:

Linux环境

apt-get install volatility

各种依赖的安装,(视情况安装)

#Distorm3:牛逼的反编译库

pip install distorm3


#Yara:恶意软件分类工具

pip install yara


#PyCrypto:加密工具集

pip install pycrypto


#PIL:图片处理库

pip install pil


#OpenPyxl:读写excel文件

pip install openpyxl


#ujson:JSON解析

pip install ujson

Windows环境

官网下载:https://www.volatilityfoundation.org/releases

内存文件准备:

使用工具dumpit获取内存文件 后缀名一般为 .raw .vmem .img

命令行使用:

以省赛的一道内存取证题目为例简单介绍其使用

题目为:你熟悉浏览器吗

提示:cookie

题目下载:

链接:https://pan.baidu.com/s/1D8O-eyI6s1URaFEd6cS7-Q 提取码:vj8x

使用 imageinfo 插件获取内存文件基本信息,分析出是哪个操作系统

volatility.exe imageinfo -f Browser.raw

可以看到可能的操作系统为:

Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418

这里是为了获取profile的类型,因为不同的操作系统结构不一样,所以后续需要使用 --profile=来指定。

imageinfo会自动猜解可能的系统类型,一般情况下第一个是正确的。

列出所有进程,指定操作系统为 Win7SP1x64

volatility.exe -f Browser.raw --profile=Win7SP1x64 pslist

题目里提到了浏览器和cookie,很自然想到浏览器进程

发现谷歌浏览器进程

在cmd下使用find查找所有谷歌浏览器进程

volatility.exe -f Browser.raw --profile=Win7SP1x64 pslist |find "chrome.exe"

接着把每一个谷歌浏览器进程的数据保存为dmp格式的文件(这里的PID需要自己指定

volatility.exe -f Browser.raw --profile=Win7SP1x64 memdump -p {对应的PID} -D ./

如:

最后导出为:

使用010editer查找flag逐一筛选

在2608.dmp文件中找到flag

参考链接:

https://flamepeak.com/2020/03/11/Linux-Forensics-Volatility-install-usage-20200322/

https://www.cnblogs.com/zaqzzz/p/10350989.html

volatility内存取证学习的更多相关文章

  1. volatility内存取证

    最近参加了45届世界技能大赛的山东选拔赛,样题里有一个题如下: 师傅好不容易拿到了压缩包的密码,刚准备输入,电脑蓝屏 了... = =",题意简单明了,易于理解.一看就是内存取证的题并且已经 ...

  2. 内存取证工具-volatility、foremost

    内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...

  3. C++内存管理学习笔记(5)

    /****************************************************************/ /*            学习是合作和分享式的! /* Auth ...

  4. C++内存管理学习笔记(6)

    /****************************************************************/ /*            学习是合作和分享式的! /* Auth ...

  5. C++内存管理学习笔记(7)

    /****************************************************************/ /*            学习是合作和分享式的! /* Auth ...

  6. js内存深入学习(二)

    继上一篇文章 js内存深入学习(一) 3. 内存泄漏 对于持续运行的服务进程(daemon),必须及时释放不再用到的内存.否则,内存占用越来越高,轻则影响系统性能,重则导致进程崩溃. 对于不再用到的内 ...

  7. js内存深入学习(一)

    一. 内存空间储存 某些情况下,调用堆栈中函数调用的数量超出了调用堆栈的实际大小,浏览器会抛出一个错误终止运行.这个就涉及到内存问题了. 1. 数据结构类型 栈: 后进先出(LIFO)的数据结构  堆 ...

  8. Linux内存管理学习资料

    下面是Linux内存管理学习的一些资料. 博客 mlock() and mlockall() system calls. All about Linux swap space 逆向映射的演进 Linu ...

  9. 苹果内存取证工具volafox

    苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具.该工具使用Python语言编写.该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种 ...

随机推荐

  1. 下载eclipse及其插件

    1.安装JDK 2.配置JAVA_HOME 3.具体下载地址 (1)JDK的下载和安装 jdk官网 http://www.oracle.com/technetwork/java/javase/down ...

  2. ubuntu mplayer "无法打开 VDPAU backend libvdpau ..."

    gnome mplayer 报错"无法打开 VDPAU backend libvdpau_nvidia.so: cannot open shared object file: No such ...

  3. MySQL全面瓦解11:子查询和组合查询

    概述 子查询是SQL查询中的重要一块,是我们基于多表之间进行数据聚合和判断的一种手段,使得我们的处理复杂数据更加的便捷,这一节我们主要来了解一下子查询. 先做一下数据准备,这边建立三张表:班级.学生. ...

  4. close wait 状态的随想

    今天在新入职的公司处理waf 的问题时,突然看到了一个tcp状态close-wait 想一想 close-wait 是怎样产生的???? 被动收到FIN 关闭请求,协议栈主动发出ACK, 等待 本端主 ...

  5. 部署Dotnet Core应用到Kubernetes(二)

    前一篇文章,概念性地介绍了K8s的一些基础组件,如Pod.部署和服务.这篇文章,我打算写写如何使用YAML清单定义和配置这些资源.   实际上,在K8s集群中创建对象有几种方式 - 命令,或声明.两种 ...

  6. java版飞机大战代码

    @ 目录 前言 Plane PlaneStatus类 Power类 Gift Diji play类 over类 MainFrame主类 MyZiDan DijiZiDan Before 前言 很久之前 ...

  7. mysql调优从书写sql开始

    理论知识 MySQL 的运行机制 Mysql 的SQL关键字执行顺序 1.MySQL 的优化方案有哪些? MySQL 数据库常见的优化手段分为三个层面:SQL 和索引优化.数据库结构优化.系统硬件优化 ...

  8. 2种方式(线程间通信/互斥锁)实现两个线程,一个线程打印1-52,另一个线程打印字母A-Z,打印顺序为12A34B56C......5152Z

    //2019/06/13 本周HT面试遇到的问题,答得不是很好,自己重新做一下.面试只需要写出线程间通信的方式,//我当时大致知道思路,因为之前看过马士兵老师的多线程视频,但是代码写出来估计编译都是报 ...

  9. 处理Ceph osd的journal的uuid问题

    前言 之前有一篇文章介绍的是,在centos7的jewel下面如果自己做的分区如何处理自动挂载的问题,当时的环境对journal的地方采取的是文件的形式处理的,这样就没有了重启后journal的磁盘偏 ...

  10. Python_opencv库

    1.车牌检测 ''' 项目名称:opencv/cv2 车牌检测 简介: 1.训练级联表 ***.xml [跳过...] 2.用如下代码加载级联表和目标图片识别车牌 注:推荐用anconda安装open ...