volatility取证分析在Windows系统中的应用讲解如何进行?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1094个文字,预计阅读时间需要5分钟。
Volatility(win64)1. 下载Volatility:访问Volatility官方网站下载Volatility软件,我下载的是版本2.6,已将文件名轻微修改。+ Release Downloads | Volatility Foundation windows版2. 使用:1. 查看基本信息:查看镜像的基本信息,包括镜像的名称、大小、创建时间等。2. 查看镜像的基本信息:查看镜像的文件系统信息、内存布局等。3. 使用时间:根据需要,可使用Volatility查看特定时间点的内存信息。
volatility(win64) 1.下载 volatility下载地址:(我下载的版本2.6,并把名字稍微改了一下)
Release Downloads | Volatility Foundation
windows版
2.使用 1.查看基本信息查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起
例如:
打开终端,输入命令,
./volatility -f memory.img imageinfo
可以看到各种信息,标出的几个是比较重要的
2.查看进程./volatility -f memory.img --profile=Win2003SP1x86 pslist
profile具体内容根据实际文件为准,pslist应该比较好理解就是进程的列表的意思。
本文共计1094个文字,预计阅读时间需要5分钟。
Volatility(win64)1. 下载Volatility:访问Volatility官方网站下载Volatility软件,我下载的是版本2.6,已将文件名轻微修改。+ Release Downloads | Volatility Foundation windows版2. 使用:1. 查看基本信息:查看镜像的基本信息,包括镜像的名称、大小、创建时间等。2. 查看镜像的基本信息:查看镜像的文件系统信息、内存布局等。3. 使用时间:根据需要,可使用Volatility查看特定时间点的内存信息。
volatility(win64) 1.下载 volatility下载地址:(我下载的版本2.6,并把名字稍微改了一下)
Release Downloads | Volatility Foundation
windows版
2.使用 1.查看基本信息查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起
例如:
打开终端,输入命令,
./volatility -f memory.img imageinfo
可以看到各种信息,标出的几个是比较重要的
2.查看进程./volatility -f memory.img --profile=Win2003SP1x86 pslist
profile具体内容根据实际文件为准,pslist应该比较好理解就是进程的列表的意思。