摘要:
#1.ez_forenisc #1.挂载镜像,使用Arsenal Image Mounter,显示有加密 #2.再看raw文件,volatility分析,先分析镜像基本信息,然后查找进程,看到了三个有用的:cmd.exe、DumpIt.exe、vmtoolsd.exe、可以看出与镜像文件有关 vol 阅读全文
摘要:
#1.打开流量,过滤http,随便点开一个流,发现了sleep()函数,典型的时间注入语句,sleep()内的是延迟的秒数 #2.使用tshark命令,将有用的payload提取出来 tshark -r 1.pcap -Y "http.request" -T fields -e "urlencode 阅读全文