memtriage是一款Windows内存取证工具。该工具使用Winpmem来抓取内存dump,并使用Volatility进行分析。
注意事项:
当启用Device Guard时,该工具将无法正常工作;
应该在部署之前在机器上进行测试
Volatility 插件
以下是当前所支持的[……]
标签: 内存取证
CryKeX:Linux内存加密密钥提取工具
今天给大家介绍的是一款名叫CryKeX的工具,大家可以使用该工具从任何基于Unix操作系统的运行内存中提取出加密密钥。
CryKeX特性
1. 跨平台
2. 简单实用
3. 交互性强
4. 兼容性/可移植性强
5. 应用程序独立
6. [……]
数字取证技术 :Windows内存信息提取
本文转自FREEBUF,作者:Cunlin
0×00概述
后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。
大致想了一下,主要会从以下几个方面逐一介绍吧:
– 内存
– 硬盘[……]
内存取证三项CTF赛题详解
0×00 题目下载
链接:https://pan.baidu.com/s/1hskpW48 密码: ph2d0×01 题目说明
描述:一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手[……]
利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记
简介
windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来[……]
利用Volatility进行Windows内存取证分析(一):初体验
简介
承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一[……]