已完本玄幻小说排行榜,我欲封天txt下载,天下高月小说

Volatility取證大殺器

Volatility學(xué)習(xí)

Volatility是一款開源的內(nèi)存取證軟件，支持Windows、Mac、linux（kali下等等）環(huán)境下使用。并且分別有Volatility2與Volatility3兩個(gè)大版本，依次需要在py2、py3的環(huán)境下進(jìn)行使用，也要確保系統(tǒng)中已安裝環(huán)境，安裝pycrpto庫函數(shù)。

學(xué)習(xí)方向（個(gè)人見解）：對(duì)于常規(guī)比賽中的內(nèi)存取證，多為查看計(jì)算機(jī)版本號(hào)、PID、PPID、SID、密碼、時(shí)間等等之類的。不過就比賽而言，掌握基礎(chǔ)命令，去解決比賽中的題目足矣，并且內(nèi)存取證也有很多小工具、小程序，要與Volatility結(jié)合而用，包括與取證大師、仿真的虛擬機(jī)一同查看探究，我認(rèn)為更多的要注重于時(shí)間線，可以得到很多意想不到的的結(jié)果。

其次，就現(xiàn)實(shí)生活中的工作當(dāng)中，內(nèi)存取證涉及方面寬、廣、面大，需要我們共同去探究學(xué)習(xí)！最后希望大家共同進(jìn)步！

下載安裝

下載：官網(wǎng)下載即可

下載網(wǎng)址：

https://www.volatilityfoundation.org/releases（切記：下載時(shí)仍然保留）

Windows環(huán)境下下載軟件包

打開后

直接輸入CMD打開使用（簡(jiǎn)單方便）

學(xué)習(xí)使用，以2019年美亞杯個(gè)人賽鏡像為準(zhǔn)則

只需將鏡像拖入后續(xù)便可直接進(jìn)行使用

命令學(xué)習(xí)

（本次多為Windows大環(huán)境下的使用）

判斷未知內(nèi)存鏡像系統(tǒng)版本信息

命令：volatility -f 文件路徑 imageinfo

kali下解析（命令相同做一演示）

選擇版本的型號(hào)

命令：pslist/pstree/psscan：

非常有用的插件，列出轉(zhuǎn)儲(chǔ)時(shí)運(yùn)行的進(jìn)程的詳細(xì)信息；顯示過程ID，該父進(jìn)程ID（PPID），線程的數(shù)目，把手的數(shù)目，日期時(shí)間時(shí)，過程開始和退出

pslist無法顯示隱藏/終止進(jìn)程

其次在volatility中尋找自己需要的信息是非常煩瑣的，因此導(dǎo)出查看可以為我們提供便利

命令：volatility -f mem.vmem --profile=WinXPSP2 x86 pslist >pslist.txt

命令：

volatility -f D:電子取證備賽memdump.mem --profile=Win7SP1x86_23418 svcscan >svcscan.txt

任何數(shù)據(jù)都可以導(dǎo)出，然后進(jìn)行使用

比如：導(dǎo)出“查看服務(wù)（svcscan）”的數(shù)據(jù)

命令：hivelist：查看緩存在內(nèi)存的注冊(cè)表

命令：hashdump:獲取內(nèi)存中的系統(tǒng)密碼

命令：getsids：查看SID

volatility -f bb.raw--profile=Win7SP1x86_23418 getsids

打印機(jī)在注冊(cè)表中的位置

借鑒:（助于大家學(xué)習(xí)）

https://www.doc88.com/p-9107655008710.html?r=1

HKEY_LOCAL_MACHINESOFTWAREMic rosoftPrintComponents默認(rèn)瀏覽器注冊(cè)表

取證例題

小明不小心把自己出題的flag在微信中發(fā)了出去，你能找到這個(gè)flag嗎？附件下載提取碼（GAME）

https://share.weiyun.com/YHLKL9tn

備用下載

https://pan.baidu.com/s/1ttL3WmlMn48RDXGCIy6VkQ

1、查看文件

2、思路整合

根據(jù)題意flag在微信當(dāng)中因此思路為 Find wechat→導(dǎo)出數(shù)據(jù)庫→破解→得到flag

四個(gè)可疑進(jìn)程

3、尋找關(guān)鍵信息

4、導(dǎo)出

gift導(dǎo)出，發(fā)現(xiàn)出來dat文件，但是dat文件可以進(jìn)行修改后綴。改為jpg格式，打開后發(fā)現(xiàn)如下。

5、結(jié)合所學(xué)知識(shí)得到flag

使用010 editor進(jìn)行修改圖片大小

Passwd:

Nothing is more important than your life!

解碼：

c0778cb1c62f4e5bb246f8dfe5dec0117e4ae15959794d88886a4a2c5cde9354
base64解碼網(wǎng)址：https://the-x.cn/zh-cn/base64

在文件里輸入cmd 輸入命令 python（不知道python版本號(hào)，那么就直接輸入python）

腳本→

修改偏移量

123.py -k

c0778cb1c62f4e5bb246f8dfe5dec0117e4ae15959794

d88886a4a2c5cde9354 -d wechat.dat

命令總結(jié)

比賽、實(shí)戰(zhàn)中常用的命令總結(jié)方便大家學(xué)習(xí)使用

命令：volatility -f 文件路徑 imageinfo 判斷未知內(nèi)存鏡像系統(tǒng)版本信息

命令：pslist/pstree/psscan 顯示過程ID，該父進(jìn)程ID（PPID），線程的數(shù)目，把手的數(shù)目，日期時(shí)間時(shí)，過程開始和退出

命令：導(dǎo)出 volatility-f mem.vmem --profile=WinXP SP2 x86 pslist >pslist.txt

命令：svcscan 查看服務(wù)的數(shù)據(jù)

命令：hivelist：查看緩存在內(nèi)存的注冊(cè)表

命令：hashdump:獲取內(nèi)存中的系統(tǒng)密碼

命令：getsids：查看SID

命令：iehistory 查看瀏覽器歷史記錄

命令：查看服務(wù) svcscan

命令：查看運(yùn)行程序相關(guān)的記錄，比如最后一次更新時(shí)間，運(yùn)行過的次數(shù)等 userassist

命令：netscan 查看網(wǎng)絡(luò)連接

命令：filescan 查看文件

命令：printkey 獲取SAM表中的用戶

命令：檢索最后的登入用戶

printkey-K "SOFTWAREMicrosoftWindows NTCurrentVersionWinlogin"

命令：sockscan TrueCrypt摘要

審核編輯：李倩

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴

軟件

軟件

+關(guān)注

關(guān)注
69

文章
4968

瀏覽量
87699
線程

線程

+關(guān)注

關(guān)注
0

文章
505

瀏覽量
19705

原文標(biāo)題：內(nèi)存取證|Volatility大殺器

文章出處：【微信號(hào)：哆啦安全，微信公眾號(hào)：哆啦安全】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

評(píng)論

相關(guān)推薦

視覺傳感器 | 這些常見的Q&amp;A！今天統(tǒng)一回答！

明治的視覺傳感器功能豐富，集相機(jī)、光源、鏡頭為一體，搭載先進(jìn)的算法，可被握在手心的小巧尺寸，是狹小空間的視覺檢測(cè)神器。備利用傳感器與光學(xué)元件獲取被測(cè)物的圖像，通過設(shè)備內(nèi)置的深度學(xué)習(xí)算法實(shí)現(xiàn)有無檢測(cè)

發(fā)表于 11-05 08:03 ?338次閱讀

視覺傳感<b class='flag-5'>器</b> | 這些常見的Q&amp;A！今天統(tǒng)一回答！

一文掌握UV LED在空凈消殺領(lǐng)域的主要應(yīng)用

近年來，隨著科技的日新月異，LED領(lǐng)域也發(fā)展迅速。作為一種新型LED，UV LED憑借其眾多優(yōu)秀特性而備受矚目。本文將介紹UV LED的主要性能、背后原理以及在空凈消殺相關(guān)領(lǐng)域的應(yīng)用。 ? 一、走進(jìn)

發(fā)表于 10-23 14:02 ?1064次閱讀

一文掌握UV LED在空凈消<b class='flag-5'>殺</b>領(lǐng)域的主要應(yīng)用

杰和科技AI PC N601“殺”瘋啦

自2022年11月30日OpenAI宣布推出ChatGPT以來，圍繞AI的產(chǎn)品、應(yīng)用如雨后春筍般出現(xiàn)；2023年12月15日，英特爾發(fā)布了首款支持端側(cè)部署AI模型的消費(fèi)級(jí)處理器——Core

發(fā)表于 09-27 10:00 ?230次閱讀

杰和科技AI PC N601“<b class='flag-5'>殺</b>”瘋啦

垂直啟航·未來e行！2024深圳eVTOL展將于9月23-25日在深圳召開

2024深圳eVTOL展將通過“兩天論壇+三天展覽”的形式展開，專注未來城市空中交通新形態(tài)、民用有人駕駛、無人駕駛航空器、城市低空物流，并討論eVTOL的整機(jī)研發(fā)、設(shè)計(jì)、制造、飛控、適航取證、eVTOL動(dòng)力、航電、材料等多層次技術(shù)內(nèi)容。

發(fā)表于 08-23 15:43 ?354次閱讀

MF2200北亞手機(jī)取證產(chǎn)品#手機(jī)取證

手機(jī)

Frombyte

發(fā)布于 :2024年08月14日 15:00:32

傳遞綠色動(dòng)力，引領(lǐng)綠色出行！綠傳科技邀您參加2024深圳eVTOL展

航空器、城市低空物流，并討論eVTOL的整機(jī)研發(fā)、設(shè)計(jì)、制造、適航取證、eVTOL動(dòng)力、航電、材料等內(nèi)容。

發(fā)表于 08-10 09:51 ?495次閱讀

MF2200北亞手機(jī)取證設(shè)備#手機(jī)取證

行業(yè)資訊

Frombyte

發(fā)布于 :2024年08月06日 14:56:31

MF2200北亞手機(jī)取證系統(tǒng)#手機(jī)取證

行業(yè)芯事行業(yè)資訊

Frombyte

發(fā)布于 :2024年07月30日 13:58:38

MF2200北亞手機(jī)取證產(chǎn)品

行業(yè)資訊

Frombyte

發(fā)布于 :2024年07月25日 17:45:09

北亞FB-C7500數(shù)據(jù)庫取證分析系統(tǒng)#數(shù)據(jù)庫取證

數(shù)據(jù)庫

Frombyte

發(fā)布于 :2024年07月08日 14:26:31

北亞FB-C6700監(jiān)控視頻分析恢復(fù)系統(tǒng)#視頻監(jiān)控取證

視頻監(jiān)控

Frombyte

發(fā)布于 :2024年06月26日 09:14:15

北亞FCDA電子取證能力訓(xùn)練系統(tǒng)#手機(jī)取證

行業(yè)芯事行業(yè)資訊

Frombyte

發(fā)布于 :2024年06月21日 11:10:22

arduino ide開發(fā)esp32 CAM模組HTTPS無法正確讀取證書怎么解決？

我使用arduino ide開發(fā)esp23-CAM，其CPU為esp32-s2,利用http協(xié)議將圖片傳給百度智能云，但我發(fā)現(xiàn)不能實(shí)現(xiàn)網(wǎng)頁證書的鑒定，即使我已經(jīng)下載了證書并嵌入代碼，而且還不能跳過，因?yàn)樘^的配置需要在esp-idf，我認(rèn)為這種設(shè)計(jì)極為不便，希望有技術(shù)支持？以下是部分代碼 const char* root_ca ="-----BEGIN CERTIFICATE-----n""MIIJ6DCCCNCgAwIBAgIMVeasrtH4pDD5qTjFMA0GCSqGSIb3DQEBCwUAMFAxCzAJn""BgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMSYwJAYDVQQDEx1Hn""bG9iYWxTaWduIFJTQSBPViBTU0wgQ0EgMjAxODAeFw0yMzA3MDYwMTUxMDZaFw0yn""NDA4MDYwMTUxMDVaMIGAMQswCQYDVQQGEwJDTjEQMA4GA1UECBMHYmVpamluZzEQn""MA4GA1UEBxMHYmVpamluZzE5MDcGA1UEChMwQmVpamluZyBCYWlkdSBOZXRjb20gn""U2NpZW5jZSBUZWNobm9sb2d5IENvLiwgTHRkMRIwEAYDVQQDEwliYWlkdS5jb20wn""ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC7BLuEdlgHtFqIVOBqVrzln""1I0+Hrko4NcBjzgrQbJZffCsJ7QmJBQ4/kzqO0lR9+lbQPc/psjaDwJuJYtHkbgun""ngAhGR0YAPzeBP0meTld8pC8gJ2ofLKRiYnYQC/l0qfzXm1IK8UfCrHgjox2/7zRn""ZwrSSdYJ7iYDAvPMzeqK1TGoLY8D/V785DrGiWeZTM6YbfqEDQ5Ti+ZjUsWbSqmrn""oyI1mQ3uGf+bLfWkd/LsEID0q4K50X42Hw6fmxmg9cNX3Yi7zuGQnD9Lut06qUGzn""3YZNwsK36P83E8AEiUNEOBHmo5b3CSIhLyxODn7l2Fy7AERbr97ks7DwPLY4RUldn""AgMBAAGjggaPMIIGizAOBgNVHQ8BAf8EBAMCBaAwgY4GCCsGAQUFBwEBBIGBMH8wn""RAYIKwYBBQUHMAKGOGh0dHA6Ly9zZWN1cmUuZ2xvYmFsc2lnbi5jb20vY2FjZXJ0n""L2dzcnNhb3Zzc2xjYTIwMTguY3J0MDcGCCsGAQUFBzABhitodHRwOi8vb2NzcC5nn""bG9iYWxzaWduLmNvbS9nc3JzYW92c3NsY2EyMDE4MFYGA1UdIARPME0wQQYJKwYBn""BAGgMgEUMDQwMgYIKwYBBQUHAgEWJmh0dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tn""L3JlcG9zaXRvcnkvMAgGBmeBDAECAjAJBgNVHRMEAjAAMD8GA1UdHwQ4MDYwNKAyn""oDCGLmh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5jb20vZ3Nyc2FvdnNzbGNhMjAxOC5jn""cmwwggNhBgNVHREEggNYMIIDVIIJYmFpZHUuY29tggxiYWlmdWJhby5jb22CDHd3n""dy5iYWlkdS5jboIQd3d3LmJhaWR1LmNvbS5jboIPbWN0LnkubnVvbWkuY29tggthn""cG9sbG8uYXV0b4IGZHd6LmNuggsqLmJhaWR1LmNvbYIOKi5iYWlmdWJhby5jb22Cn""ESouYmFpZHVzdGF0aWMuY29tgg4qLmJkc3RhdGljLmNvbYILKi5iZGltZy5jb22Cn""DCouaGFvMTIzLmNvbYILKi5udW9taS5jb22CDSouY2h1YW5rZS5jb22CDSoudHJ1n""c3Rnby5jb22CDyouYmNlLmJhaWR1LmNvbYIQKi5leXVuLmJhaWR1LmNvbYIPKi5tn""YXAuYmFpZHUuY29tgg8qLm1iZC5iYWlkdS5jb22CESouZmFueWkuYmFpZHUuY29tn""gg4qLmJhaWR1YmNlLmNvbYIMKi5taXBjZG4uY29tghAqLm5ld3MuYmFpZHUuY29tn""gg4qLmJhaWR1cGNzLmNvbYIMKi5haXBhZ2UuY29tggsqLmFpcGFnZS5jboINKi5in""Y2Vob3N0LmNvbYIQKi5zYWZlLmJhaWR1LmNvbYIOKi5pbS5iYWlkdS5jb22CEioun""YmFpZHVjb250ZW50LmNvbYILKi5kbG5lbC5jb22CCyouZGxuZWwub3JnghIqLmR1n""ZXJvcy5iYWlkdS5jb22CDiouc3UuYmFpZHUuY29tgggqLjkxLmNvbYISKi5oYW8xn""MjMuYmFpZHUuY29tgg0qLmFwb2xsby5hdXRvghIqLnh1ZXNodUJhaWR1LmNvbYISn""YmouYmFpZHViY2UuY29tghEqLmd6LmJhaWR1YmNlLmNvbYIOKi5zbWFydGFwcHMun""Y26CDSouYmR0anJjdi5jb22CDCouaGFvMjIyLmNvbYIMKi5oYW9rYW4uY29tgg8qn""LnBhZS5iYWlkdS5jb22CESoudmQuYmRzdGF0aWMuY29tghEqLmNsb3VkLmJhaWR1n""LmNvbYISY2xpY2suaG0uYmFpZHUuY29tghBsb2cuaG0uYmFpZHUuY29tghBjn""bS5wb3MuYmFpZHUuY29tghB3bi5wb3MuYmFpZHUuY29tghR1cGRhdGUucGFuLmJhn""aWR1LmNvbTAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwHwYDVR0jBBgwn""FoAU+O9/8s14Z6jeb48kjYjxhwMCs+swHQYDVR0OBBYEFO1zq/kgvnoZn1kfsp/yn""Py8/kYQSMIIBfgYKKwYBBAHWeQIEAgSCAW4EggFqAWgAdgBIsONr2qZHNA/lagL6n""nTDrHFIBy1bdLIHZu7+rOdiEcwAAAYko5XABAAAEAwBHMEUCIQDtGvRfSswr/1ffn""5bjL+SRct34Ue6PaRsDYvGhpiYejgwIgX/aCg9Og5EZbVLo+ZsrU9s3IJusYzZYjn""ASJszEzwZ1oAdwDuzdBk1dsazsVct520zROiModGfLzs3sNRSFlGcR+1mwAAAYkon""5XAdAAAEAwBIMEYCIQC9HcMYKn54HivSbhH0wuWtwTaHYtuIvJD8IhPF+zJ9/gIhn""AICMnoiGocc6FGIMIYmMd7p7JJSXMZCpFXSibCwzg1ItAHUA2ra/az+1tiKfm8K7n""XGvocJFxbLtRhIU0vaQ9MEjX+6sAAAGJKOVtVwAABAMARjBEAiBUbWpp6uCjWPkXn""1a3kdzajezONw5Uwdn7l+xypjE6bdwIgG2GK8pH+5UqZTTKxNyqCRoiJDX7rAXzxn""O22aIRkkBcAwDQYJKoZIhvcNAQELBQADggEBABlaZ1BDsax6k6hoGHKLQH6mdd6sn""IfzJQRYgS/OMC7lHRa74XXn2QzUmAZjwuYY+KQHx37Byta540t9htnhnisl3mt7gn""5EEvnB7lO3yXP0IvreNJf50rAoiQaSUDARS5tcsPWT0tlz0C1VGQaQyBECLaxlHvn""SAzST95h8mqHFaVtcY43AqKFDx4ZdaOALmoaogKML+y9PYEDP4rAoOa0DghXywAcn""ircbjzhxmo3AcQw/vNS+Vp33GMGqvuTfGobiYm8jhjBUeC1HH7StBSlzJJgUoBnAn""Av2QkE5iXOhNMYnD6Iuec1k7mJHKR6UFW8Uej4U5Ds61JgqATp8IShFJE2M=n""-----END CERTIFICATE-----n";esp_err_t _http_event_handler(esp_http_client_event_t* evt) { if (evt->event_id == HTTP_EVENT_ON_DATA) {httpResponseString.concat((char*)evt->data); } return ESP_OK;}String recognizeImage(String image) { httpResponseString = ""; esp_http_client_handle_t http_client; esp_http_client_config_t config_client = { 0 };config_client.url = post_url; config_client.event_handler = _http_event_handler; config_client.auth_type = HTTP_AUTH_TYPE_NONE; config_client.cert_pem =root_ca; config_client.client_cert_len= strlen(root_ca)+1; config_client.skip_cert_common_name_check = true; config_client.buffer_size_tx =313000; config_client.transport_type = HTTP_TRANSPORT_OVER_TCP; config_client.method = HTTP_METHOD_POST;

發(fā)表于 06-06 07:39