volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证的镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volati

http://www.codemachine.com/courses.html#kerdbg Windows Kernel Internals for Security Researchers This course takes a deep dive into the internals of the Windows kernel from a security perspective. Attendees learn about behind the scenes working of va

来源:Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Memory Acquisition and Analysis 调查人员检查物理内存内容,以检测恶意进程.威胁和内存驻留恶意软件,以恢复密码和获取密钥. 伏笔:rootkit,root代表最高权限,kit表示软件.合起来,最高权限的软件.如果存在恶意rootkit,利用它可以运行指令将进程与一些显示进程列表接口的函数切断关联隐藏起来,你在任务管理器里看不见.这东西的危害,

volatility取证的使用----windows内存 简介 kali下默认安装 可以对windows,linux,mac,android的内存进行分析 内存文件的准备 Win2003SP2x86下使用工具dumpit获取到了内存文件,保存为ROOT-6B78B0CA4D-20190202-044824.raw 其实不光.raw .vmem .img都是可以的 获取基本信息 volatility -f ROOT-6B78B0CA4D-20190202-044824.raw imageinfo

环境:kali 0x00 volatility官方文档 https://github.com/volatilityfoundation/volatility 在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统 volatility imageinfo -f Advertising\ for\ Marriage.raw 知道镜像后,就可以在 –profile 中带上对应的操作系统(我不加也行emmm,严谨点就加吧) 0x01 列出进程列表 volatility pslist -f Adve

内存取证 1. 内存取证工具volatility 猜测dump文件的profile值 root@kali:~/CTF# volatility -f mem.vmem imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : WinXPSP2x86, WinX

最近简单的了解了一下Volatility这个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等等等等~~~ 0x01 安装 安装分为三步走: 下载 安装必要的python依赖文件 安装本体 下载 你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以通过github去获取源码: git clone https://github.com/vola

https://blog.csdn.net/chanyi0040/article/details/100956582 表格 1 Volatility支持的插件列表 插件名称 功能 amcache 查看AmCache应用程序痕迹信息 apihooks 检测内核及进程的内存空间中的API hook atoms 列出会话及窗口站atom表 atomscan Atom表的池扫描(Pool scanner) auditpol 列出注册表HKLM\SECURITY\Policy\PolAdtEv的审计策略信

日期:2019-06-07 16:11:49 作者:Bay0net 介绍:Windows 应急响应.取证及溯源相关内容学习记录 0x00.前言 常见的应急分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 0x01.入侵排查过程 1.1 系统账户相关 注意事项:弱口令.22/3389 等端口是否对外 查看账号的方法: net user(无法列出$用户) lusrmgr.exe(无法找到注册表方式建立的用

Windows应急事件 病毒.木马.蠕虫 Web服务器入侵事件或第三方服务入侵事件 系统入侵事件 网络攻击事件(DDOS.ARP.DNS劫持等) 通用排查思路 获知异常事件基本情况 发现主机异常现象的时间点和发现者 异常现象 受害用户的应急举措 异常原因 可能的入侵思路 可能存在的痕迹 获取Windows基本信息 机器名称 操作系统版本 OS安装时间 启动时间 域名 补丁安装情况 计算机的详细信息 检查相关日志 Windows日志位置: Windows /Server2003/Windows X

1. Cuckoo使用的第三方工具及库 Yara:http://plusvic.github.io/yara/ Pydeep:https://github.com/kbandla/pydeep Yara是用来扫描文件的Pattern的工具: Pydeep是用来计算一段缓存或者一个文件的摘要,以及根据摘要来分析两个文件的相似度的工具. Pydeep是根据ssdeep项目改写的Python版本,而ssdeep是根据下面的论文开发的: http://dfrws.org/2006/proceedings

之前使用python都是用来做一些简单的脚本,本质上和bat批处理文件没有区别. 但是Python是可以用来编写大型的项目的,比如: Volatility:https://code.google.com/p/volatility/ Cuckoo:http://cuckoosandbox.org/index.html 1. ctypes库 http://docs.python.org/2/library/ctypes.html Python被称为一种"胶水语言(http://en.wikipedi

工具下载: Linux环境 apt-get install volatility 各种依赖的安装,(视情况安装) #Distorm3:牛逼的反编译库 pip install distorm3 ​ #Yara:恶意软件分类工具 pip install yara ​ #PyCrypto:加密工具集 pip install pycrypto ​ #PIL:图片处理库 pip install pil ​ #OpenPyxl:读写excel文件 pip install openpyxl ​ #ujson:

Windows server 2012 添加中文语言包(英文转为中文)(离线) 相关资料: 公司环境:亚马孙aws虚拟机 英文版Windows2012 中文SQL Server2012安装包,需要安装操作系统的中文语言包 XenSource Windows guest agent EC2 ConfigService 参考资料 http://www.cnbeta.com/articles/226755.htmhttps://technet.microsoft.com/zh-cn/library/h

Windows Server 2012 NIC Teaming介绍及注意事项 转载自:http://www.it165.net/os/html/201303/4799.html Windows Server 2012 NIC Teaming 也称作 负载平衡/故障转移 (LBFO).主要功能就是带宽聚合,负载均衡以及故障转移.Windows Server 2012 首次内置了这个功能,所以配置NIC Teaming不再需要网卡厂商的驱动程序上配置.具体就不多说了,想必大家都已经有所了解.直接进入

闲扯: 前几日,一个朋友问我如何实现按 F1 键实现粘贴(Ctrl+V)功能,百度了一个方法,发给他,他看不懂(已经是 Boss 的曾经的码农),我就做了个Demo给他参考.今日得空,将 Demo 整理一下,做为收集,也给大家一个参考. Begin: 注册系统热键,.net 类库好像没有提供现成的方法,需要使用系统提供的 DLL. 微软将许多常用的系统函数都封装在 user32.dll 中,注册系统热键使用到的 RegisterHotKey 函数和 UnregisterHotKey 函数也在该

在Windows 7 SP1 电脑上执行Cake的的例子 http://cakebuild.net/docs/tutorials/getting-started ,运行./Build.ps1 报下面的错误 PS D:\Workshop\GitHub\cakebuildexample> ./build.ps1 -Target Default Preparing to run build script... Join-Path : 无法将参数绑定到参数"Path",因为该参数是空值.

在离线环境中发布.NET Core至Windows Server 2008 0x00 写在开始 之前一篇博客中写了在离线环境中使用.NET Core,之后一边学习一边写了一些页面作为测试,现在打算发布一下试试.看了下官方给出的发布教程感觉挺详细的了(https://docs.asp.net/en/latest/publishing/iis.html),不过毕竟离线环境还是挺麻烦的,直觉告诉我发布过程中会遇到幺蛾子.果然就遇到问题了,不过解决起来都很简单.这里做个记录顺便分享下,希望对有类似需求的

概述 最近.NET的世界开始闹腾了,微软官方终于加入到了对.NET跨平台的支持,并且在不久的将来,我们在VS里面写的代码可能就可以通过Mono直接在Linux和Mac上运行.那么大家(开发者和企业)为什么那么的迫切的希望.NET跨平台呢?第一个理由是便宜,淘宝号称4万多台服务器全部运行在Linux,Linux平台下还有免费的MySql,这些都是免费的,这些省下来直接就是利润呀,做企业的成本可以降低又没有任何损失,何乐而不为呢?第二个理由是在Linux系统下还有很多非常优秀的构架(当然同样也是免费

自从操作系统升级到64位以后,就要不断的需要面对32位.64位的问题.相信有很多人并不是很清楚32位程序与64位程序的区别,以及Program Files (x86),Program Files的区别.同时,对于程序的dll文件应该放到System32文件夹,还是SysWow64,大部分人做的决定是,32位程序放到System32,64位程序放到SysWow64.是不是这样呢,那么今天就由我身边发生的一个案例来详细的说明一下. dll文件不匹配导致数据库无法启动 前段时间,数据库做了一些功能上的