记录一次内存取证

最新推荐文章于 2025-04-03 16:44:14 发布

哈尔滨等保测评全是骗子

最新推荐文章于 2025-04-03 16:44:14 发布

阅读量853

点赞数 18

文章标签：安全网络 web安全 python 算法

本文链接：https://blog.youkuaiyun.com/2401_84434570/article/details/139253174

版权

1.情景复现

我姐姐的电脑坏了。我们非常幸运地恢复了这个内存转储。你的工作是从系统中获取她所有的重要文件。根据我们的记忆，我们突然看到一个黑色的窗口弹出，上面有一些正在执行的东西。崩溃发生时，她正试图画一些东西。这就是我们从崩溃时所记得的一切。

注意：此挑战由 3 个flag组成。

2.flag1

2.1获取系统版本号

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw imageinfo

2.2查看控制台运行命令

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw --profile=Win7SP1x64 cmdsc

2.3查看控制台输出

volatility_2.6_win64_standalone.exe -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles

2.4base64解密得到了第一个flag1

echo 'ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=' |base64 -d

获取到flag：flag{th1s_1s_th3_1st_st4g3!!}

flag

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

哈尔滨等保测评全是骗子

关注关注

18
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

内存取证——基础知识（volatility内存取证）

记录并分享学习安全的知识点..

01-11

1474

内存取证——基础知识（volatility内存取证）

浅析内存取证

Lemon's blog

10-16

8621

前言： MISC经常遇到取证分析的，而且在实战中系统取证也是非常重要的，利用这段时间学习一下。什么是活取证在主机存活时发现系统被入侵,然后直接把机器的运行内存dump下来，对运行内存进行分析，还原一些进程的中的信息。主要工作便是抓取文件metadata 创建时间线命令历史分析日志文件哈希摘要转存内存信息等什么是死取证对机器的磁盘做镜像之后进行分析，在关机后制作硬盘镜像，分析镜像（MBR硬盘分区,GPT全局分区表,LVM逻辑卷）是否存在病毒,木马等恶意程序。不管是那种取证方式

参与评论您还未登录，请先登录后发表或查看评论

内存取证CTF-Memlabs靶场1

qq_42947816的博客

02-01

3305

MemLabs 是一组具有教育意义的介绍性 CTF 式挑战，旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。

内存取证系列5

SwBack的博客

11-23

919

Volatility命令参考地址此外，他注意到他最喜欢的应用程序每次运行时都会崩溃。是病毒吗？ Note-1: 此挑战由 3 个flag组成。如果您认为第二个flag是结束，它不是！ Note-2: 挑战时有一个小错误。如果您发现任何包含字符串的字符串，请将其更改为然后继续。 Note-3: 只有当您拥有flag1 时，您才会获得flag2 。

Volatility2.6内存取证工具安装及入门

热门推荐

Geek极安云科-致力于网络安全事业

05-11

1万+

Volatility 是一个完全开源的工具，用于从内存 (RAM) 样本中提取数字工件。支持Windows，Linux，MaC，Android等多类型操作系统系统的内存取证。那么针对竞赛这块（CTF、技能大赛等）基本上都是用在Misc方向的取证题上面，很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然，这款工具在安装的时候也是非常难受，一大堆报错会让你很崩溃，但是你搞定这些事后对你的取证赛题将会突飞猛进！后续我也会更新解决各种疑难杂症报错的解决方案给大家。

Windows取证实验

qq_63855830的博客

03-26

2829

Windows活取证实验

内存取证-手册

qq_52579508的博客

07-23

1710

取证工具 : Volatility。

内存取证5-volatility

chinazgzx的博客

04-03

1664

内存取证是一种在计算机系统运行时获取内存数据并进行分析的技术，能获取到很多磁盘中没有的动态信息，对于调查系统异常、检测恶意软件等非常关键。Volatility 是一款开源的内存取证工具，支持 Windows、Linux、Mac OS X、Android 等系统。它通过获取内核数据结构，使用插件获取内存的详细情况以及系统的运行状态，可用于安全事件响应、恶意软件分析等场景。

volatility_2.6_win64system_standalone.rar

10-08

内存取证分析工具volatility windows版

volatility-2.6-win64-standalone.exe

12-13

volatility-2.6-win64-standalone.exe

volatility_2.6_lin64_standalone.zip

05-16

volatility_2.6_lin64_standalone.zip linux 版本，用于内存取证

volatility用法

it_xiaohu123的博客

03-14

546

1.查看基本信息 volatility_2.6_win64_standalone.exe -f F:\virusmachines\win7x64_pos\Win7x64\Win7x64-Snapshot4.vmem imageinfo 2.查看进程信息 volatility_2.6_win64_standalone.exe -f F:\virusmachines\win7x64_pos\Win7x64\Win7x64-Snapshot4.vmem --profile=Win7SP1x64 psli

内存取证神器Volatility常用指令大全

qq_43678263的博客

08-11

3806

内存取证神器Volatility常用指令大全

Volatility工具使用

admin的博客

10-14

1417

https://zhuanlan.zhihu.com/p/29952999 教程 Dumplt生成内存镜像.raw volatility_2.6_win64_standalone.exe -f 镜像 imageinfo 获取imageinfo信息 volatility_2.6_win64_standalone.exe -f WIN7-PC-20180913-090245.raw imageinfo 进程pslist volatility_2.6_win64_standalone.exe -f QQQ

Volatility 2.6 Windows 64位系统独立版：内存取证的利器

gitblog_09778的博客

10-15

826

Volatility 2.6 Windows 64位系统独立版：内存取证的利器【下载地址】Volatility2.6Windows64位系统独立版下载本仓库提供了一个内存取证分析工具——Volatility的Windows 64位系统独立版资源文件下载。该工具在内存取证领域广泛应用，能够帮助安全研究人员和取证专家分析...

金砖技能大赛-应急响应-内存镜像分析-进程分析

WEB渗透测试从入门到萌新

09-30

5530

作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、恶意文件分析等相关技能，利用这些技能我们能够第一时间分析相关恶意文件、分析蛛丝马迹帮助我们更好的完成应急响应工作。应急响应阶段题目主要包含：Windows 内存镜像分析，Linux 内存镜像分析，磁盘文件恢复，恶意程序分析等内容。

volatility使用教程

ZJPC007的博客

11-10

706

回车即可在分析之前，需要先判断当前的镜像信息，分析出是哪个操作系统命令imageinfo即可获取镜像信息。在查到操作系统后如果不确定可以使用以下命令查看volatility - f xxx.vmem --profile= [操作系统] volshell。打开下载的文件夹之后，直接在上面输入cmd,打开终端（这个文件不一定要放在这个软件的文件夹里，我只是为了方便所以放的，个人建议不要这样做）因为网上实在找不到一个正常的教程。后面是如何让他运行，比如我想要用他打开一个后缀名为mem的文件。

利用Volatility进行Windows内存取证分析(一)：初体验

Fly_鹏程万里

05-16

9887

简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,...

内存取证题目