摘要:
示例了一个进程,如下是x64dbg看到的: 在vmmap里看到的,可以知道是完全一样的: 阅读全文
摘要:
volatility 2.4手册里说的: vol3里就只有: windows.netscan.NetScan Scans for network objects present in a particular windows memory image. 我自己实验下: PS D:\Applicati 阅读全文
摘要:
隐藏服务本质上和隐藏进程没有区别! svcscan原理: 因此,要找到隐藏的服务就需要使用svcscan,同时结合sc query看到的可见服务进行对比,以发现隐藏服务! PS D:\Application\volatility3-stable\moddmp_out> volatility26.ex 阅读全文
摘要:
可以看到识别inline hook的关键。 好了,我自己机器上实验下:先看下手册里介绍用法 https://downloads.volatilityfoundation.org/releases/2.4/CheatSheet_v2.4.pdf 实际使用发现确实加上-R 和 -Q会快很多!输出的结果如 阅读全文
摘要:
好了,书中,说了操作的步骤,我们再vol2里实验下。 查看进程: PS D:\Application\volatility3-stable> python .\vol.py -f "D:\book\malwarecookbook-master\malwarecookbook-master\16\7\ 阅读全文
摘要:
如果是vol3的话,我没有找到合适的命令行可以等价输出(感觉是vol3这块还没有足够成熟),因此:本文使用的是vol2,下载地址:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalon 阅读全文
摘要:
volatility 3 内存取证入门——如何从内存中寻找敏感数据 上面说的思路,我自己在本机验证下,首先,我在虚拟机里使用IE登录我的qq邮箱,如下: 我自己登录IE的进程是2052,虚拟机dump vmem文件以后,vol3下: python .\vol.py -f "D:\Virtual Ma 阅读全文
摘要:
好了,为了简单表示上述提到的PEB和DLL加载的关系,给一一张图如下: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。 PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB 阅读全文
摘要:
注意:我自己使用vol3实验了下,pslist和pstree都看不到进程的完整磁盘路径,但是使用dlllist可以。如下: PS D:\Application\volatility3-stable> python .\vol.py -f D:\book\malwarecookbook-master\ 阅读全文
摘要:
pslist 和 psscan 的区别 列表: “ pslist ” 模块使用与将在实时计算机上执行的任务列表命令相同的算法。 而且,Windows 任务管理器也使用相同的方法。 上面提到的命令“pslist”遍历 Windows 内核维护的活动进程结构列表。 windows内核使用EPROCESS 阅读全文