当前位置: 首页 > news >正文

CTF-取证题目解析-提供环境

news 2025/7/7 17:17:35

一、安装

官网下载:Volatility 2.6 Release

1、将windows下载的volatility上传到 kali/home 文件夹里面 

3、将home/kali/vol刚刚上传的 移动到use/sbin目录里面

mv volatility usr/local/sbin/

切换到里面

cd /usr/local/sbin/volatility

输入配置环境echo $PATH 

4、报错权限

 5、将文件上移一个目录

Suspicion

压缩文件里面存在两个文件

我们先看一下镜像文件 mem.vmen

 1、查看镜像系统

.\volatility_2.6_win64_standalone.exe -f .\mem.vmem imageinfo 

2、查看进程pid信息

.\volatility_2.6_win64_standalone.exe -f .\mem.vmem --profile=WinXPSP2x86 pslis

发现存在可疑进程。百度看了一下,发现是一款加密软件 那么我们就很容易能想到,suspicion应该是一个被TrueCrypt加密的文件

3、导出进程

 python2 vol.py -f mem.vmem --profile=WinXPSP2x86 memdump -p 2012 -D ./

  • -pPID
  • -D是转储路径将进程转储出来得到2012.dmp

后面更新..............

http://www.lryc.cn/news/7671.html

相关文章:

  • 计算机基础 | 网络篇 | TCP/IP 四层模型
  • 实时数据仓库
  • leetcode 1250. 检查「好数组」
  • JDK动态代理和CGLib动态代理的区别
  • Leetcode.1250 检查「好数组」
  • WMS系统推荐,如何选到适合企业的仓库管理系统
  • C语言的期末复习
  • 强化学习之DQN论文介绍
  • 使用luaBridge添加自己的C++脚本插件能力
  • 再拾起博客
  • Mybatis流式游标查询-大数据DB查询OOM查询问题
  • 以before为例 完成一个aop代理强化方法案例
  • 好记性不如烂笔头之Java基础复习笔记
  • MyBatisPlus
  • 【C语言】编程初学者入门训练(11)
  • HTTP 1.1响应码
  • 常用设计模式介绍
  • 关于货物物品横竖摆放的问题
  • 人员定位需求多,场景目标各不同
  • 怎么解决首屏加载速度过慢的问题
  • 3d视觉相关论文阅读目录汇总
  • 最简单的计算机视觉
  • 泛微采知连,为组织提供安全、合规、智能的数字化文控系统
  • Python if else对缩进的要求
  • java常用设计模式
  • 死锁(5.1)
  • Python 之 Matplotlib 第一个绘图程序和基本方法
  • 数据结构与算法(一):概述
  • Spring3之Bean的属性详解
  • C语言之结构体内存的计算