内存取证一点点
volatility
安装 linux最好 python2环境 github下完部署
python2 vol.py -f Memory.vmem imageinfo
–profile=Win81U1x86
调出shell窗口
这算一个奇淫技巧
python2 vol.py -f Memory.vmem --profile=Win81U1x86 volshell
可以测试你猜测的系统是否正确,正确的话就能getshell
进程pslist
文件filescan
下文件dumpfiles -Q地址 -D导出目录
https://blog.csdn.net/zjjcxy_long/article/details/108315214
https://blog.csdn.net/q20010619/article/details/120390580
https://blog.csdn.net/qq_41814777/article/details/102762621
https://blog.csdn.net/weixin_46081055/article/details/118926224
