工具下载:

Linux环境

apt-get install volatility

各种依赖的安装,(视情况安装)

#Distorm3:牛逼的反编译库

pip install distorm3


#Yara:恶意软件分类工具

pip install yara


#PyCrypto:加密工具集

pip install pycrypto


#PIL:图片处理库

pip install pil


#OpenPyxl:读写excel文件

pip install openpyxl


#ujson:JSON解析

pip install ujson

Windows环境

官网下载:https://www.volatilityfoundation.org/releases

内存文件准备:

使用工具dumpit获取内存文件 后缀名一般为 .raw .vmem .img

命令行使用:

以省赛的一道内存取证题目为例简单介绍其使用

题目为:你熟悉浏览器吗

提示:cookie

题目下载:

链接:https://pan.baidu.com/s/1D8O-eyI6s1URaFEd6cS7-Q 提取码:vj8x

使用 imageinfo 插件获取内存文件基本信息,分析出是哪个操作系统

volatility.exe imageinfo -f Browser.raw

可以看到可能的操作系统为:

Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418

这里是为了获取profile的类型,因为不同的操作系统结构不一样,所以后续需要使用 --profile=来指定。

imageinfo会自动猜解可能的系统类型,一般情况下第一个是正确的。

列出所有进程,指定操作系统为 Win7SP1x64

volatility.exe -f Browser.raw --profile=Win7SP1x64 pslist

题目里提到了浏览器和cookie,很自然想到浏览器进程

发现谷歌浏览器进程

在cmd下使用find查找所有谷歌浏览器进程

volatility.exe -f Browser.raw --profile=Win7SP1x64 pslist |find "chrome.exe"

接着把每一个谷歌浏览器进程的数据保存为dmp格式的文件(这里的PID需要自己指定

volatility.exe -f Browser.raw --profile=Win7SP1x64 memdump -p {对应的PID} -D ./

如:

最后导出为:

使用010editer查找flag逐一筛选

在2608.dmp文件中找到flag

参考链接:

https://flamepeak.com/2020/03/11/Linux-Forensics-Volatility-install-usage-20200322/

https://www.cnblogs.com/zaqzzz/p/10350989.html

volatility内存取证学习的更多相关文章

  1. volatility内存取证

    最近参加了45届世界技能大赛的山东选拔赛,样题里有一个题如下: 师傅好不容易拿到了压缩包的密码,刚准备输入,电脑蓝屏 了... = =",题意简单明了,易于理解.一看就是内存取证的题并且已经 ...

  2. 内存取证工具-volatility、foremost

    内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatil ...

  3. C++内存管理学习笔记(5)

    /****************************************************************/ /*            学习是合作和分享式的! /* Auth ...

  4. C++内存管理学习笔记(6)

    /****************************************************************/ /*            学习是合作和分享式的! /* Auth ...

  5. C++内存管理学习笔记(7)

    /****************************************************************/ /*            学习是合作和分享式的! /* Auth ...

  6. js内存深入学习(二)

    继上一篇文章 js内存深入学习(一) 3. 内存泄漏 对于持续运行的服务进程(daemon),必须及时释放不再用到的内存.否则,内存占用越来越高,轻则影响系统性能,重则导致进程崩溃. 对于不再用到的内 ...

  7. js内存深入学习(一)

    一. 内存空间储存 某些情况下,调用堆栈中函数调用的数量超出了调用堆栈的实际大小,浏览器会抛出一个错误终止运行.这个就涉及到内存问题了. 1. 数据结构类型 栈: 后进先出(LIFO)的数据结构  堆 ...

  8. Linux内存管理学习资料

    下面是Linux内存管理学习的一些资料. 博客 mlock() and mlockall() system calls. All about Linux swap space 逆向映射的演进 Linu ...

  9. 苹果内存取证工具volafox

    苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具.该工具使用Python语言编写.该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种 ...

随机推荐

  1. Git Push大文件报错后如何撤回

    昨晚在提交一个项目代码时,不小心把数据库备份文件也一起Commit了:到最后Push的时候报错了.最后弄了半天解决了,在此记录下. 如下图,文件有108M. 项目放在第三方托管平台上,根据提示查看了原 ...

  2. Spider--实战--selenium_12306

    # login12306_02 # 图像识别涉及到深度学习,这里直接将验证码识别任务发送到大佬的验证码解析地址,不过现在已经失效了,程序跑到这会报错. # 用户名和密码存储在本地工作目录中的 user ...

  3. python_摘要_加密

    import hashlib def get_md5(username,password): md5 = hashlib.md5(username.encode('utf-8')) # 加盐 md5. ...

  4. Docker - 解决同步容器与主机时间报错:Error response from daemon: Error processing tar file(exit status 1): invalid symlink "/usr/share/zoneinfo/UTC" -> "../usr/share/zoneinfo/Asia/Shanghai"

    问题背景 这里讲解了如何同步容器和主机的时间:https://www.cnblogs.com/poloyy/p/13967532.html 其中使用方法二 docker cp /etc/localti ...

  5. 【18】进大厂必须掌握的面试题-15个Kafka面试

    1.什么是Kafka? Wikipedia将Kafka定义为"由 Scala编写的Apache软件基金会开发的开源消息代理项目 ,并且是一个分布式的发布-订阅消息系统. 特征 描述 高吞吐量 ...

  6. PF_PACKET&&tcpdump

    linux下抓包原理 linux下的抓包是通过注册一种虚拟的底层网络协议来完成对网络设备消息的处理权.当网卡接收到一个网络报文之后,它会遍历系统中所有已经注册的网络协议,当抓包模块把自己伪装成一个网络 ...

  7. 这 5 个开源的能挣钱的 SpringBoot 项目,真TMD香!

    不得不佩服 Spring Boot 的生态如此强大,今天我给大家推荐几款 Gitee 上优秀的后台开源版本的管理系统,小伙伴们再也不用从头到尾撸一个项目了,简直就是接私活,挣钱的利器啊. SmartA ...

  8. SpringSecurity之认证

    SpringSecurity之认证 目录 SpringSecurity之认证 1. 盐值加密 1. 原理概述 2. 使用说明 1. 加密 2. 认证 1. 页面成功跳转的坑 2. 使用验证码校验的坑 ...

  9. Spring源码理论

    Spring Bean的创建过程: Spring容器获取Bean和创建Bean都会调用getBean()方法. getBean()方法 1)getBean()方法内部最终调用doGetBean()方法 ...

  10. 数据结构实训——哈夫曼(Huffman)编/译码器

    题目4.哈夫曼(Huffman)编/译码器(限1人完成) [问题描述] 利用哈夫曼编码进行通信可以大大提高信道利用率,缩短信息传输时间,降低传输成本.但是,这要求在发送端通过一个编码系统对待传数据预先 ...