记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

基础事件响应中的Volatility工作流程

最近,我发现自己需要对完整内存转储进行一些调查。经过一段时间的搜索,我发现了Volatility-Labs的这篇文章,根据其中的指导方法,我可以很好的来评估内存转储。当然,你可能会有更好、更深度的内存恶意软件分析技术,但对内存转储进行基本的分析却是必不可少的。首先,我们需要收集内存转储。具体如何选择相关工具,请点此。在这篇文章的测试中,我选择使用了DumpIt,DumpIt 是一款绿色免安装的windows内存镜像取证工具。利用它我们可以轻松的将一个系统的完整内存镜像下来,并用于后续的调查取证工作。将可执行文件加载到闪存驱动器后,我将其附加到系统进行调查。在本文,我使用带有/ T标志的命令,以RAW格式复制内存。.Du
发布时间:2019-03-12 12:20 | 阅读:37602 | 评论:0 | 标签:Web安全 Volatility

利用Volatility查找系统中的恶意DLL

昨天看到@白河·愁 发了《Linux下内存取证工具Volatility的使用》,今天恰好看到一篇Volatility利用的文章,文章不长,就翻译了过来。原文地址:http://carnal0wnage.attackresearch.com/2014/02/finding-malicious-dlls-with-volatility.html 译文:Colin和我最近正致力于研究一个内存镜像,需要找到由svchost.exe加载的所有DLL,选择使用大家熟知的内存分析工具 — Volatility。Volatility无法通过进程名查看加载的dll,而是通过指定进程的PID来将所有已加载的dll列出。但是,如果系统中有多个同名的进程(如svchost.exe),我们可以用以类
发布时间:2014-02-26 14:35 | 阅读:79157 | 评论:0 | 标签:系统安全 Volatility 恶意软件

Linux下内存取证工具Volatility的使用

#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/volatility/wiki/LinuxCommandReference23#linux_pidhashtable,含以下内容Processeslinux_pslistlinux_psauxlinux_pstreelinux_pslist_cachelinux_pidhashtablelinux_psxvi
发布时间:2014-02-24 16:30 | 阅读:89303 | 评论:0 | 标签:系统安全 Volatility 取证

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云