Kail内存取证简要

简介: 介绍常用取证工具

xmount挂载e01格式磁盘文件

xmount --in ewf --out vdi --cache ./Disk.cache ./PLEXTOR\ PX-128M5Pro.e01 ./mnt/

输出的vdi格式文件可以通过virtualbox 还原

  • --out vdi 为输出镜像格式
  • ./Disk.cache ./****.e01 为检材文件格式,有关更多E01格式可参考
  • ./mnt 为目标挂在卷,输出的vdi格式镜像将会被挂载到此目录下


bulk_extractor内存取证

bulk_extractor -o ./out DESKTOP-D7AP30M-20200605-082800.raw

获取url访问历史、电话号码、email等信息并输出到./out目录下

有关bulk_extractor详细用法可参考


volatility 内存取证

volatility文档command

volatility -f DESKTOP-D7AP30M-20200605-082800.raw imageinfo #获取镜像信息
volatility -f DESKTOP-D7AP30M-20200605-082800.raw --profile=Win10x64_17134 pslist #列出进程
volatility -f DESKTOP-D7AP30M-20200605-082800.raw --profile=Win10x64_14393 truecryptsummary #列出加密摘要


url_decode

python有url转中文字符的库

# coding:utf-8
import urllib.parse
with open('url_keyword.txt') as f:
    result = f.read()
    print(urllib.parse.unquote(result))


目录
相关文章
|
5月前
|
存储 Linux Android开发
Volatility3内存取证工具安装及入门在Linux下的安装教程
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。以前很多赛项都是使用vol2.6都可以完成,但是由于操作系统更新,部分系统2.6已经不支持了,如:Win10 等镜像,而Volatility3是支持这些新版本操作系统的。
|
6月前
|
安全 Linux Python
Volatility3内存取证工具安装及入门在Linux下的安装教程
Volatility3内存取证工具安装及入门在Linux下的安装教程
Volatility3内存取证工具安装及入门在Linux下的安装教程
|
6月前
|
安全 Python Linux
Kali Linux下Volatility2.6常见问题疑难杂症-内存取证信息安全管理与评估
Kali Linux下Volatility2.6常见问题疑难杂症-内存取证信息安全管理与评估
Kali Linux下Volatility2.6常见问题疑难杂症-内存取证信息安全管理与评估
|
6月前
|
数据安全/隐私保护 Python Windows
Volatility2.6内存取证工具安装及入门-2
Volatility2.6内存取证工具安装及入门
Volatility2.6内存取证工具安装及入门-2
|
6月前
|
安全 Python Linux
Volatility2.6内存取证工具安装及入门-1
Volatility2.6内存取证工具安装及入门
Volatility2.6内存取证工具安装及入门-1
|
12月前
|
安全 PHP 网络虚拟化
windows内存取证-简单
作为 Security Blue 团队的成员,您的任务是使用 Redline 和 Volatility 工具分析内存转储。您的目标是跟踪攻击者在受感染计算机上采取的步骤,并确定他们如何设法绕过网络入侵检测系统“NIDS”。您的调查将涉及识别攻击中使用的特定恶意软件系列及其特征。此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。
|
安全 文件存储 数据安全/隐私保护
windows内存取证-中等难度-下篇
承接上文,我们继续学习
|
存储 安全 数据安全/隐私保护
Windows内存取证-中等难度 -上篇
此篇文章,主要学习到windows内存取证知识,此次学习将有3个场景,涉及内网横向域控等
|
存储 安全 Linux
内存取证 volatility(上)
0xThrL狗蛋师傅整理的内存取证笔记 有问题可以联系狗蛋师傅VX:GD0xThrL
284 0
|
缓存
内存取证工具Volatility学习(下)
内存取证工具Volatility学习
212 0