2023年5月4日
volatility 网络相关的命令,使用时注意 一些比较过时
摘要: volatility 2.4手册里说的: vol3里就只有: windows.netscan.NetScan Scans for network objects present in a particular windows memory image. 我自己实验下: PS D:\Applicati 阅读全文
posted @ 2023-05-04 01:21 bonelee 阅读(67) 评论(0) 推荐(0) 编辑
使用volatility——扫描互斥体和隐藏服务,隐藏服务本质上和隐藏进程一样
摘要: 隐藏服务本质上和隐藏进程没有区别! svcscan原理: 因此,要找到隐藏的服务就需要使用svcscan,同时结合sc query看到的可见服务进行对比,以发现隐藏服务! PS D:\Application\volatility3-stable\moddmp_out> volatility26.ex 阅读全文
posted @ 2023-05-04 01:08 bonelee 阅读(94) 评论(0) 推荐(0) 编辑
rootkit检测之检测hook——iat hook、inline hook、eat hook、idt hook、irp hook、ssdt
摘要: 可以看到识别inline hook的关键。 好了,我自己机器上实验下:先看下手册里介绍用法 https://downloads.volatilityfoundation.org/releases/2.4/CheatSheet_v2.4.pdf 实际使用发现确实加上-R 和 -Q会快很多!输出的结果如 阅读全文
posted @ 2023-05-04 00:41 bonelee 阅读(316) 评论(0) 推荐(0) 编辑