windows操作系统事件日志 C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32) 应用程序日志 App Event.Evtx(Application.evtx) 安全日志 SecEvent.Evtx 系统日志 SysEvent.Evtx USB设备第一...
苹果内存取证工具volafox volafox是一款针对苹果内存取证的专用工具。该工具使用Python语言编写。该工具内置了overlay data数据,用户可以直接分析苹果10.6-10.11的各种内存镜像文件。该工具提供28个子命令,用来...
环境:kali 0x00 volatility官方文档 https://github.com/volatilityfoundation/volatility 在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统 volatility imageinfo -f Advertising\ for\ Marriage.r...
工具下载: Linux环境 apt-get install volatility 各种依赖的安装,(视情况安装) #Distorm3:牛逼的反编译库 pip install distorm3 #Yara:恶意软件分类工具 pip install yara #PyCrypto:加密工具集 pip i...
内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determini...
最近参加了45届世界技能大赛的山东选拔赛,样题里有一个题如下: 师傅好不容易拿到了压缩包的密码,刚准备输入,电脑蓝屏 了。。。 = =",题意简单明了,易于理解。一看就是内存取证的题并且已经有了内存转储文件...
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可...
题目是一个raw的镜像文件 用volatility搜索一下进程 有正常的notepad,msprint,还有dumpit和truecrypt volatility -f mem.raw --profile=Win7SP1x86_23418 iehistory 查看ie历史的时候有一个百度网盘的连接但是...
命令翻译 linux_apihooks - 检查用户名apihooks linux_arp - 打印ARP表 linux_aslr_shift - 自动检测Linux aslr改变 linux_banner - 打印Linux Banner信息...
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千...
西数DES数据库取证分析大师系统 软件界面 功能介绍: 支持勒索病毒加密的oracle数据库 可从数据文件 DBF,dmp文件恢复表数据,存储过程,触发器等所有数据.。 (1)系统崩溃只剩下数据文件的情况下的...