摘要: 好了,书中,说了操作的步骤,我们再vol2里实验下。 查看进程: PS D:\Application\volatility3-stable> python .\vol.py -f "D:\book\malwarecookbook-master\malwarecookbook-master\16\7\ 阅读全文
posted @ 2023-05-03 21:36 bonelee 阅读(61) 评论(0) 推荐(0) 编辑
摘要: 如果是vol3的话,我没有找到合适的命令行可以等价输出(感觉是vol3这块还没有足够成熟),因此:本文使用的是vol2,下载地址:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalon 阅读全文
posted @ 2023-05-03 20:41 bonelee 阅读(317) 评论(1) 推荐(0) 编辑
摘要: volatility 3 内存取证入门——如何从内存中寻找敏感数据 上面说的思路,我自己在本机验证下,首先,我在虚拟机里使用IE登录我的qq邮箱,如下: 我自己登录IE的进程是2052,虚拟机dump vmem文件以后,vol3下: python .\vol.py -f "D:\Virtual Ma 阅读全文
posted @ 2023-05-03 18:19 bonelee 阅读(1052) 评论(2) 推荐(0) 编辑
摘要: 好了,为了简单表示上述提到的PEB和DLL加载的关系,给一一张图如下: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。 PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB 阅读全文
posted @ 2023-05-03 17:15 bonelee 阅读(174) 评论(0) 推荐(0) 编辑
摘要: 注意:我自己使用vol3实验了下,pslist和pstree都看不到进程的完整磁盘路径,但是使用dlllist可以。如下: PS D:\Application\volatility3-stable> python .\vol.py -f D:\book\malwarecookbook-master\ 阅读全文
posted @ 2023-05-03 12:10 bonelee 阅读(223) 评论(0) 推荐(0) 编辑
摘要: pslist 和 psscan 的区别 列表: “ pslist ” 模块使用与将在实时计算机上执行的任务列表命令相同的算法。 而且,Windows 任务管理器也使用相同的方法。 上面提到的命令“pslist”遍历 Windows 内核维护的活动进程结构列表。 windows内核使用EPROCESS 阅读全文
posted @ 2023-05-03 10:45 bonelee 阅读(108) 评论(2) 推荐(0) 编辑