memtriage是一款Windows内存取证工具。该工具使用Winpmem来抓取内存dump，并使用Volatility进行分析。 注意事项： 当启用Device Guard时，该工具将无法正常工作； 应该在部署之前在机器上进行测试 Volatility 插件 以下是当前所支持的[......] [阅读全部]

今天给大家介绍的是一款名叫CryKeX的工具，大家可以使用该工具从任何基于Unix操作系统的运行内存中提取出加密密钥。 CryKeX特性 1.   跨平台 2.   简单实用 3.   交互性强 4.   兼容性/可移植性强 5.   应用程序独立 6.  [......] [阅读全部]

本文转自FREEBUF，作者：Cunlin 0×00概述 后面会花一部分时间，写一些数字取证相关的文章。攻击技术贴多如牛毛，眼下不管是网安，还是安全厂商， 欠缺的是对取证技术的研究。 大致想了一下，主要会从以下几个方面逐一介绍吧： -         内存 -         硬盘[......] [阅读全部]

0×00 题目下载 链接:https://pan.baidu.com/s/1hskpW48 密码: ph2d 0×01 题目说明 描述：一天下午小白出去吃饭，临走之前还不忘锁了电脑，这时同寝室的小黑想搞点事情，懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑，于是便悄悄在电脑上动起手[......] [阅读全部]

简介 windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来[......] [阅读全部]

简介 承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一[......] [阅读全部]