kali对windows的内存取证

最新推荐文章于 2025-06-08 13:49:36 发布
最新推荐文章于 2025-06-08 13:49:36 发布
阅读量743 收藏 2
点赞数 1
CC 4.0 BY-SA版权
文章标签: 网络安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51957047/article/details/130178825

在kali系统上,有VOLATILITY等工具,可以方便的完成内存镜像取证等工作,如何将Windows系统内存镜像数据给VOLATILITY分析呢?除了通过DumpIt等第三方工具镜像为文件外,本文将介绍一种方法,将更方便的完成内存镜像取证。

准备工作

一台被内存镜像取证的电脑运行的windows系统
一台取证电脑运行的kali系统
两台电脑要能通过网络通信,并且最好是有线千M以上网络,因为windows系统的内存镜像数据,是要通过网络传到kali系统的,所以网络速度至关重要。

安装软件

在Windows系统上,安装RFBD,RFBD是跨平台的nbd-server,通过该服务实现读取Windows内存数据。
主页:http://ranfs.com/cn/?RFBD
用管理员权限运行powershell,执行如下命令:

$rfbd_dir=“c:\rfbd”;Invoke-Expression(New-Object Net.WebClient).DownloadString(“http://ranfs.com/pub/rfbd/all/get.ps1”)

在这里插入图片描述

注意: $rfbd_dir=“c:\rfbd” 中的 c:\rfbd为rfbd安装目录, 如要安装其它目录,请更改此路径。

在没有powershell系统里,请手动下载安装包,运行里面的install.bat即可完成安装。

关于防火墙配置,默认情况下,脚本自动配置了系统防火墙,放行了使用的端口,如果使用了其它防火墙,请手动放行10809端口和6780端口,10809为nbd服务端口,必须放行 ,6780为web调试和配置端口,根据需要放行。

<
最低0.47元/天 解锁文章

200万优质内容无限畅学
MISC之内存取证_Kali环境下使用volatility
dbsod007520的博客
08-18 6684
前言 1、本文所需工具及题目下载路径: 2、所作操作均使用root用户执行 一、安装volatility及相关依赖文件 volatility 是一款内存取证分析工具,可以对dumpit.exe等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux。 1、将volatility-master.zip文件解压到Kali某目录下,为了避免linux系统权限相关困扰,本文加压路径为/home/root/volatility-master 2、将pac.zip文件中的内
内存镜像工具MAGNET
07-13
电子数据取证人员在取证现场需要的一种工具,必备的内存镜像工具,操作简单,支持分卷,超级好用!RAM CAPTURE V1.2.0
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
Kali Linux 数字取证(一)
龙哥盟
07-15 1988
在今天的世界中,新的威胁、违规行为和恶意活动经常在新闻、网站和门户网站上被发现和发布。尽管我们尽力保护我们的数据、系统和网络,但仍然会发生违规行为。为了了解发生了什么,我们转向数字取证领域。尽管数字取证仍然是一个相对较新的领域,但在考虑到任何访问互联网并意图进行恶意活动的人可以获得的大量信息时,取证已经变得和安全一样重要。值得庆幸的是,数字指纹和工件有时会留下痕迹,无论是在已删除或隐藏的文件、电子邮件、某人的浏览历史、远程连接列表,甚至是移动短信中。
Linux内存镜像工具LiME使用详解
最新发布
weixin_35578748的博客
06-08 862
LiME(Linux Memory Extractor)是一种开源工具,专门设计用于从Linux系统中捕获物理内存的镜像。它的工作原理基于Linux内核模块,允许用户将内核直接转换成数据采集工具。由于它是由Linux内核直接捕获数据,因此可以避免使用其他内存捕获工具时常见的兼容性和性能问题。LiME由Dong Wang在2012年首次发布,目的是为了解决在取证分析中常见的内存捕获不完全或数据污染问题。
Kali Linux 数字取证(二)
龙哥盟
07-15 988
原文:annas-archive.org/md5/8FE31A420313B3F8EBAD75F795E950BF。
kali中docker拉取镜像
yy12345666的博客
03-10 4167
kali中docker拉取镜像,hello-world ,nginx
kali linux之取证
weixin_30723433的博客
03-14 1515
取证简介: CSI:物理取证 指纹、DNA、弹道、血迹 无力取证的理论基础是物质交换原则 数字取证/计算机取证 智能设备、计算机、手机平板、loT、有线及无线信道、数据存储 事件响应调查------黑客攻击,渗透测试留痕 通用原则----(取证分析全部过程记录文档) 维护证据完整性 数字取证比物理取证幸运的多,可以有无限数量的拷贝进行分析...
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
内存取证MemLabs靶场
12-17
内存取证是一个涉及从计算机内存中提取数据以调查犯罪、安全违规、系统故障等问题的过程。在进行内存取证时,使用专业工具来分析内存数据是至关重要的。Volatility是一个流行的开源内存取证工具,它能够分析内存映像...
kali volatility3内存取证
01-24
### 使用Volatility3进行内存取证分析 当准备就绪之后,可以通过如下方式加载待分析的目标镜像文件(例如命名为`memory.raw`),并通过特定插件获取所需数据: #### 查看可用概要信息 执行下面这条语句可以帮助...
地址 kali linux_Microsoft AVML|Linux内存提取工具
weixin_36410316的博客
01-12 1071
之前的Linux内存取证是使用dd命令复制物理内存dev/mem或者dev/kmem,但新的Linux系统增加了对这些文件访问的限制。目前大多使用的是Linux MemoryExtractor(LiME),但需要编译就使操作不那么简单了。 那有没有更简单的方法呢?Microsoft AVML(Acquire Volatile Memory for Linux)就是一个操作很简...
redline内存分析工具
12-13
Fireeye安全公司发布的一款针对内存分析的工具,可对内存数据进行整理和分析
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析
Kali Linux渗透测试 151 取证工具-Volatility
kevinhanser
04-20 4173
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 Kali Linux渗透测试(苑房弘)博客记录 1. 制作内存镜像取证工具 Comae-Toolkit-Light使用其中的 DumpIt 制作内存镜像文件,内存文件与内存大小接近或者稍微大一点2. 分析内存文件 插件位置/usr/lib/python2.
Windows内存镜像取证
ping204568238的博客
02-29 1299
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号。4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令。5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容。需要指定偏移量 -Q 和输出目录 -D。
内存取证volatility工具命令详解
Y525698136的博客
01-04 4400
内存取证volatility工具命令详解
Windows内存映像文件及其应用
nandi_1的专栏
11-06 1137
<br />关键词:内核对象、内存映像文件、数据共享<br />Key Words: Kernel Object; Memory-Mapped Files; Data Sharing<br />一.内核对象和地址空间<br />为了更好地理解本文后面的内容,在介绍内存映像文件之前我们先简单回顾一下Window<br />s中内核对象和地址空间的有关概念。在Windows中有各种内核对象,如事件、文件、进<br />程、旗语、互斥体等。内核对象是由系统内核分配管理的一段内存块,只有系统内核能<br />够直接
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 10万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eglike

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值