欧美网址在线观看,免费看一级毛片,婷婷伊人久久,五十路老熟道中出在线播放,奇米网777四色国产精品,男人日女人的免费视频,一级片国产

計算機內存取證技術

原文作者:徐志強?? 日期:2018年6月10日

神探學院

?一、?計算機物理內存簡介

計算機的物理內存一般我們指的就是隨機存取存儲器(Random?Access?Memory,簡稱RAM)。內存是一種易失性存儲載體,它保存處理器主動訪問和存儲的代碼和數據,是一個臨時的數據交換空間。大多數的PC的內存屬于一種動態(tài)RAM(DRAM)。 它是動態(tài)變化的,因其利用了電容器在充電和放電狀態(tài)間的差異來存儲數據的比特位。 為了維持電容器的狀態(tài),動態(tài)內存必須周期性刷新- 這也是內存控制器最典型的任務。

由于計算機的內存(DRAM)需要持續(xù)供電才能保持數據可持續(xù)訪問,因此也稱為易失性存儲。美國普林斯頓大學曾做過關于計算機冷啟動攻擊的研究,計算機在斷電后,在很短的時間內內存的數據就會消失,然而通過液態(tài)氮冷卻,可以將內存中的數據進行凍結,再通過一些技術方法來解凍并獲取原來的內存數據。以下我們先了解一下與內存相關的基本概念。

地址空間(Address Space)

CPU處理器要在執(zhí)行指令并訪問存儲與內中的數據,它必須為要訪問的數制定一個唯一性地址。地址空間指的就是一組大量的有效地址,可用于去識別存儲與有限的內存分配空間中的數據。一個正在運行的程序可以訪問的單個連續(xù)的地址空間一般稱為線性地址空間?;趦却婺P图安捎玫姆猪撃J?,我們有時將其稱為線性地址,有時稱為虛擬地址。通常我們使用物理地址空間來特指處理器請求訪問物理內存的地址。這些地址是通過將線性地址轉化為物理地址來獲得。

內存分頁(Paging)

從抽象意義上來講頁是一個具有固定尺寸的窗口,從邏輯意義上來講頁是具有固定大小的一組連續(xù)線性地址的集合。

分頁可以將線性地址空間進行虛擬化。它創(chuàng)建了一個執(zhí)行環(huán)境,大量線性地址空間通過用適量的物理內存和磁盤存儲進行模擬。每一個32位的線性地址空間被分為固定長度的片段,稱為頁(Page),頁可以任何順序將線性地址空間映射為物理內存。 當程序嘗試訪問線性地址時,這樣的映射使用了駐留內存的頁目錄(Page Directory)及頁表(Page Table)來實現。

一個頁的大小可以指定為4KB(212=4KB)的任意倍數,這根據不同的體系結構或操作系統的設置而定,而x86架構下的Windows/Linux均采用4KB大小的分頁方式,這就說明32位線性地址中必定存在一個12位的指示頁內偏移量的域。

計算機內存取證技術
圖表 1 內存分頁機制

 

物理地址擴展

Intel公司的32位架構的內存分頁機制支持物理地址擴展(Physical Address Extension?,簡稱PAE),該擴展支持允許處理器支持超過4GB的物理地址空間。

程序雖然仍只能擁有最高4GB的線性地址空間,但是內存管理單元可以將那些地址映射為擴展后的64GB物理地址空間。對于支持PAE功能的系統,線性地址分為四個索引

  • 頁目錄指針表(Page directory pointer table,簡稱PDPT)
  • 頁目錄(Page directory,簡稱PD)
  • 頁表(Page table,簡稱PT)
  • 頁偏移(Page offset)

二、?物理內存中數據的價值

計算機終端及移動終端均使用了RAM易失性存儲,主要用于數據交換、臨時存儲等用途。操作系統及各種應用軟件均經常需要與物理內存進行數據交互,此外由于內存空間有限,因此計算機系統還可能將內存中的數據緩存到磁盤中,如pagefile.sys(頁交換文件)及hiberfil.sys(休眠文件)。

內存中有大量的各類數據,結構化及非結構化數據。通過對物理內存鏡像可以提取出有價值的數據。 常見有價值的數據,包含以下內容:

  • 進程列表(包括惡意程序進程、Rootkit隱藏進程等)
  • 動態(tài)鏈接庫(當前系統或程序加載的動態(tài)鏈接庫)
  • 打開文件列表(當前系統打開的文件列表)
  • 網絡連接(當前活動的網絡連接)
  • $MFT記錄(常駐文件均可以直接提取恢復)
  • 注冊表(部分注冊表信息,包括系統注冊表和用戶注冊表文件)
  • 加密密鑰或密碼(如Windows賬戶密碼Hash、BitLocker/SafeBoot/PGP/ TrueCrypt/VeraCrypt等全盤加密或加密容器的恢復密鑰等)
  • 聊天記錄(如QQ聊天記錄片段)
  • 互聯網訪問(上網記錄URL地址、網頁緩存及InPrivate隱私模式訪問數據等)
  • 電子郵件(如網頁郵件緩存頁面)
  • 圖片及文檔等(尚未保存到磁盤中的圖片、文檔等文件)

 

頁交換文件(Pagefile.sys)

除了使用物理內存RAM用于數據交換,Windows為了能正常工作還使用了各種各樣的文件。從Windows 95開始,Windows開始引入了頁交換文件(Pagefile.sys)來協助內存數據的交換。 Pagefile.sys是磁盤中的一個文件,它用于將操作系統中的活動數據臨時性地進行存儲,在必要的情況下,Windows可將Pagefile.sys文件的中數據移動到物理內存中或從內存中將數據移到該文件中,實現數據的臨時交換或緩存。從Pagefile.sys中獲得的數據通常是當前活動的相關信息,也通常與調查相關性較高。

Windows操作系統最多支持16個頁交換文件。啟用物理地址擴展功能(PAE)的Windows 32位和64位系統的最大頁交換文件大小為16TB。64位的安騰架構(Itanium)的系統的頁交換文件可以支持高達32TB。 頁交換文件大小的默認值為計算機物理內存大小的1.5至3倍。

Pagefile.sys用于存儲從物理內存中轉移過來的數據。 要獲得一個正在運行的系統的活動全貌或快照,我們通常除了分析物理內存,還需要分析pagefile.sys。 部分工具支持同時將物理內存和pagefile.sys進行檢查分析。通常pagefile.sys文件放置于操作系統所在分區(qū),當然用戶也完全可能修改高級設置或注冊表調整pagefile.sys的存儲位置。

從Windows?7操作系統版本開始,Windows系統開始支持頁交換文件pagefile.sys的加密。

計算機內存取證技術
圖表 2 啟用頁交換文件加密

?

計算機內存取證技術
圖表 3 查詢頁交換文件加密狀態(tài)

 

休眠文件(HiberFil.sys

Hiberfil.sys是當系統休眠時,Windows將物理內存的數據寫入到磁盤生成的一個文件。當系統進入休眠狀態(tài)后,網絡連接將會中斷。 當系統重新加電時,hiberfil.sys文件中的數據重新回寫到物理內存中,這也使得從休眠狀態(tài)恢復到原始狀態(tài)變得相當快。

休眠文件包含了標準的頭部(PO_MEMORY_IMAGE),包含了內核上下文與寄存器的相關信息及壓縮的數據塊。該文件采用了Xpress算法(帶霍夫曼Huffman及LZ編碼)。 文件頭部通常包含了“hibr”、“HIBR”、“wake”或“WAKE”等特征。 操作系統從休眠狀態(tài)恢復后,頭部就被清零了。清零后的文件頭可能導致一些取證軟件無法分析該文件。

通過分析hiberfil.sys文件的修改時間戳信息,我們可以了解到該系統最后一次休眠的時間。系統中的休眠文件hiberfil.sys只有一個。當系統重新休眠時,當前物理內存中的內容將會覆蓋原有文件的數據。 要對hiberfil.sys進行分析,要求取證工具可以將休眠文件中的數據進行解壓為原生數據并進行數據解析。Mattieu Suiche的Windows Memory Toolkit工具hibr2bin.exe支持將休眠文件轉為原生轉儲文件。

當取證人員在現場要制作Windows操作系統的物理內存鏡像時,可能由于內存鏡像工具不兼容操作系統導致無法獲取物理內存數據。當無法成功制作物理內存鏡像時,還可以讓系統進入休眠模式,從而用變通的方式獲得物理內存中的數據。

要進入休眠模式,首先要讓系統啟用休眠模式支持。Windows 8及以上版本的操作系統,默認啟用休眠模式支持。取證人員也可以管理員權限進入命令行模式,并輸入powercfg.exe /hibernate ON 來啟用休眠模式支持。要讓操作系統進入休眠模式,需要輸入shutdown /h .

Vista以上操作系統在原有支持休眠模式(Hibernate Mode)的基礎上增加了睡眠模式(Sleep Mode)。睡眠模式狀態(tài)下,操作系統使用極少的電量保證內存可以繼續(xù)工作,一旦系統電量不足,系統將保存所有內存數據到磁盤并關閉計算機。而休眠模式狀態(tài)下,系統關閉,將內存中的數據寫入休眠文件hiberfil.sys中。

在默認的Windows開始菜單中的“電源”找不到“休眠”,可以通過按Win+X鍵,選擇“控制面板”,找到“硬件和聲音”->“電源選項”->“選擇電源按鈕的功能”,選擇“更改當前不可用的設置”,在“關機設置”下將“休眠”選項勾選。后續(xù)在開始菜單選擇“電源”即可直接看到“休眠”選項。

計算機內存取證技術
圖表 4 通過關機設置將“休眠”選項增加到電源菜單中

 

圖表 5 電源界面可見到“休眠”選項
圖表 5 電源界面可見到“休眠”選項

 

三、?Windows 內存取證方法和分析技術

內存取證(Memory Forensics)通常指對計算機及相關智能設備運行時的物理內存中存儲的臨時數據進行獲取與分析,提取有價值的數據。內存是操作系統及各種軟件交換數據的區(qū)域,數據易丟失(Volatile),通常在關機后數據很快就消失。

常見物理內存獲取方法:冷啟動攻擊(Cool Boot Attack)、基于火線(1394)或雷電 (ThunderBolt)接口的直接內存訪問(DMA)獲取及內存獲取軟件工具。

不同的操作系統需要用到不同的物理內存獲取工具。

Windows操作系統平臺支持內存獲取的常見工具有:

  • DumpIt (早期版本名為Win32dd)
  • Belkasoft RAMCapturer
  • Magnet RAM Capture
  • WinEn
  • Winpmem
  • EnCase Imager
  • FTK Imager
  • 取證大師
  • 取證神探

 

Linux操作系統常見的內存獲取工具:

  • dd (適合Linux早期版本)
  • LiME ?http://code.google.com/p/lime-forensics/
  • linpmem
  • Draugr ?http://code.google.com/p/draugr/
  • Volatilitux ?http://code.google.com/p/volatilitux/
  • Memfetch ?http://lcamtuf.coredump.cx/
  • Memdump

 

Mac?OSX操作系統內存獲取工具有:

  • MacMemoryReader
  • osxpmem
  • Recon?for Mac OSX
  • Blackbag MacQuisition

 

Windows操作系統平臺下的DumpIt是一個簡單易用的計算機內存鏡像獲取工具。通常直接將該工具存放在大容量移動硬盤或優(yōu)盤中??芍苯釉谡谶\行Windows系統的平臺直接運行,根據提示操作即可。

計算機內存取證技術
圖表 6 DumpIt內存鏡像獲取工具

?

在獲取物理內存數據時還需盡量減少對原有內存數據的覆蓋,最大程度提取處內存數據。

計算機內存取證技術
圖表 7 DumpIt工具運行時內存資源占用

 

計算機內存取證技術
圖表 8 Magnet RAM Capture運行時內存占用情況

 

內存分析技術

Windows操作系統獲取出的物理內存鏡像需要使用專門的內存分析工具。常見的內存分析工具有Volatility、Rekall、Forensic Toolkit(FTK)、取證大師及取證神探等,可以解析出常見的基本信息,包括進程信息、網絡連接、加載的DLL文件及注冊表加載信息等。

Volatility?Framework?

Volatility Framework是一個完全開放的內存分析工具集,基于GNU GPL2許可,以python語言進行編寫。由于Volatility是一款開源免費的工具,無需花任何錢即可進行內存數據的高級分析,此外代碼開源的特點,遇到一些無法解決的問題時,還可以對源代碼進行修改或擴展功能。

在開始使用Volatility之前,我們需要先了解它具有哪些特色功能。

  • 即獨立又整體統一的框架

 

支持32位和64位操作系統的內存分析(如Windows、Linux、Mac系統及32位的Android系統)。Volatility的模塊化設計允許快速對未來新發(fā)布的操作系統進行支持。

  • 開放源代碼(GPL v2)

 

意味著可以自行閱讀源代碼,對源代碼進行學習及功能擴充。 通過了解和學習Volatility的工作機制,你也可以成為一名更有效的分析專家。

  • 基于Python語言編寫

 

Python是一個公認的取證及逆向工程語言,帶有豐富的庫文件,也容易集成到Volatility。

  • 跨平臺運行支持

 

Volatility只要系統平臺有Python運行環(huán)境即可運行,因此在Windows、Linux或Mac系統中都可以方便地運行。

  • 程序接口擴展性強、腳本編程支持

 

Volatility讓取證人員可以不斷創(chuàng)新,自行擴展新功能,例如新增支持惡意程序沙盒分析、虛擬機檢測、自動瀏覽內核內存等功能。

  • 豐富的文件格式支持

 

支持原始數據轉儲(Raw Dump)、崩潰轉儲(Crash Dump)、休眠文件及各種其它格式,甚至可以支持多個格式之間的轉換。

  • 快速高效的算法支持

 

與其它工具相比,Volatility具備快速高效的分析內存轉儲文件分析能力,無需消耗多余的內存。

  • 社區(qū)支持

 

Volatility的共享者來自各行各業(yè),商業(yè)公司、執(zhí)法部門、學術機構及全球各行業(yè)人士。

 

Volatility支持的操作系統版本

  • 64-bit Windows Server 2016
  • 64-bit Windows Server 2012 及2012 R2
  • 32- and 64-bit Windows 10
  • 32- and 64-bit Windows 8, 8.1, and 8.1 Update 1
  • 32- and 64-bit Windows 7 (支持所有Service?Pack)
  • 32- and 64-bit Windows Server 2008 (支持所有Service?Pack)
  • 64-bit Windows Server 2008 R2 (支持所有Service?Pack)
  • 32- and 64-bit Windows Vista (支持所有Service?Pack)
  • 32- and 64-bit Windows Server 2003 (支持所有Service?Pack)
  • 32- and 64-bit Windows XP (SP2 和?SP3)
  • 32- and 64-bit Linux kernels (2.6.11 ~ 4.2.3)
  • 32-bit 10.5.x Leopard (64-bit 10.5 Server尚未支持)
  • 32- and 64-bit 10.6.x Snow Leopard
  • 32- and 64-bit 10.7.x Lion
  • 64-bit 10.8.x Mountain Lion
  • 64-bit 10.9.x Mavericks
  • 64-bit 10.10.x Yosemite
  • 64-bit 10.11.x El Capitan
  • 64-bit 10.12.x Sierra

Volatility支持的內存鏡像格式

  • 原始物理內存鏡像格式
  • 火線獲取內存格式(IEEE 1394)
  • EWF格式(Expert Witness)
  • 32- and 64-bit Windows 崩潰轉儲文件(Crash Dump)
  • 32- and 64-bit Windows 休眠文件?(Windows 7及早期版本)
  • 32- and 64-bit MachO 文件
  • Virtualbox Core Dumps
  • VMware 保存狀態(tài)文件?(.vmss) 及快照文件(.vmsn)
  • HPAK 格式 (FastDump)
  • QEMU 內存轉儲文件

 

在Windows系統平臺下,有兩種方式可以運行Volatility工具。第一種是獨立安裝Python運行環(huán)境,再下載Volatility源代碼執(zhí)行命令行。第二種為下載Volatility獨立Windows程序(無需另外安裝和配置Python環(huán)境)。最新Volatility版本為v2.6,可以通過官方網站進行下載。

在Windows?64位平臺,最便捷的方式就是直接使用獨立Windows程序的Volatility版本。進入管理員命令行模式,運行volatility_2.6_win64_standalone.exe 程序即可。

Volatility常用命令行參數

  • -h 查看相關參數及幫助說明
  • –info 查看相關模塊名稱及支持的Windows版本
  • -f?指定要打開的內存鏡像文件及路徑
  • -d?開啟調試模式
  • -v?開啟顯示詳細信息模式(verbose)

由于幫助說明內容太多,通??梢詫热葺敵鰹槲谋疚募?,方便隨時打開參數及模塊支持列表。

  • volatility_2.6_win64_standalone.exe -h?> help.txt
  • volatility_2.6_win64_standalone.exe –info > modules_list.txt

 

表格 1?Volatility支持的插件列表

插件名稱 功能
amcache 查看AmCache應用程序痕跡信息
apihooks 檢測內核及進程的內存空間中的API?hook
atoms 列出會話及窗口站atom表
atomscan Atom表的池掃描(Pool scanner)
auditpol 列出注冊表HKLM\SECURITY\Policy\PolAdtEv的審計策略信息
bigpools 使用BigPagePoolScanner轉儲大分頁池(big page pools)
bioskbd 從實時模式內存中讀取鍵盤緩沖數據(早期電腦可以讀取出BIOS開機密碼)
cachedump 獲取內存中緩存的域帳號的密碼哈希
callbacks 打印全系統通知例程
clipboard 提取Windows剪貼板中的內容
cmdline 顯示進程命令行參數
cmdscan 提取執(zhí)行的命令行歷史記錄(掃描_COMMAND_HISTORY信息)
connections 打印系統打開的網絡連接(僅支持Windows XP 和2003)
connscan 打印TCP連接信息
consoles 提取執(zhí)行的命令行歷史記錄(掃描_CONSOLE_INFORMATION信息)
crashinfo 提取崩潰轉儲信息
deskscan tagDESKTOP池掃描(Poolscaner)
devicetree 顯示設備樹信息
dlldump 從進程地址空間轉儲動態(tài)鏈接庫
dlllist 打印每個進程加載的動態(tài)鏈接庫列表
driverirp IRP hook驅動檢測
drivermodule 關聯驅動對象至內核模塊
driverscan 驅動對象池掃描
dumpcerts 提取RAS私鑰及SSL公鑰
dumpfiles 提取內存中映射或緩存的文件
dumpregistry 轉儲內存中注冊表信息至磁盤
editbox 查看Edit編輯控件信息?(Listbox正在實驗中)
envars 顯示進程的環(huán)境變量
eventhooks 打印Windows事件hook詳細信息
evtlogs 提取Windows事件日志(僅支持XP/2003)
filescan 提取文件對象(file objects)池信息
gahti 轉儲用戶句柄(handle)類型信息
gditimers 打印已安裝的GDI計時器(timers)及回調(callbacks)
gdt 顯示全局描述符表(Global Descriptor Table)
getservicesids 獲取注冊表中的服務名稱并返回SID信息
getsids 打印每個進程的SID信息
handles 打印每個進程打開的句柄的列表
hashdump 轉儲內存中的Windows帳戶密碼哈希(LM/NTLM)
hibinfo 轉儲休眠文件信息
hivedump 打印注冊表配置單元信息
hivelist 打印注冊表配置單元列表
hivescan 注冊表配置單元池掃描
hpakextract 從HPAK文件(Fast Dump格式)提取物理內存數據
hpakinfo 查看HPAK文件屬性及相關信息
idt 顯示中斷描述符表(Interrupt Descriptor Table)
iehistory 重建IE緩存及訪問歷史記錄
imagecopy 將物理地址空間導出原生DD鏡像文件
imageinfo 查看/識別鏡像信息
impscan 掃描對導入函數的調用
joblinks 打印進程任務鏈接信息
kdbgscan 搜索和轉儲潛在KDBG值
kpcrscan 搜索和轉儲潛在KPCR值
ldrmodules 檢測未鏈接的動態(tài)鏈接DLL
lsadump 從注冊表中提取LSA密鑰信息(已解密)
machoinfo 轉儲Mach-O 文件格式信息
malfind 查找隱藏的和插入的代碼
mbrparser 掃描并解析潛在的主引導記錄(MBR)
memdump 轉儲進程的可尋址內存
memmap 打印內存映射
messagehooks 桌面和窗口消息鉤子的線程列表
mftparser 掃描并解析潛在的MFT條目
moddump 轉儲內核驅動程序到可執(zhí)行文件的示例
modscan 內核模塊池掃描
modules 打印加載模塊的列表
multiscan 批量掃描各種對象
mutantscan 對互斥對象池掃描
notepad 查看記事本當前顯示的文本
objtypescan 掃描窗口對象類型對象
patcher 基于頁面掃描的補丁程序內存
poolpeek 可配置的池掃描器插件
printkey 打印注冊表項及其子項和值
privs 顯示進程權限
procdump 進程轉儲到一個可執(zhí)行文件示例
pslist 按照EPROCESS列表打印所有正在運行的進程
psscan 進程對象池掃描
pstree 以樹型方式打印進程列表
psxview 查找?guī)в须[藏進程的所有進程列表
qemuinfo 轉儲Qemu 信息
raw2dmp 將物理內存原生數據轉換為windbg崩潰轉儲格式
screenshot 基于GDI Windows的虛擬屏幕截圖保存
servicediff Windows服務列表(ala Plugx)
sessions _MM_SESSION_SPACE的詳細信息列表(用戶登錄會話)
shellbags 打印Shellbags信息
shimcache 解析應用程序兼容性Shim緩存注冊表項
shutdowntime 從內存中的注冊表信息獲取機器關機時間
sockets 打印已打開套接字列表
sockscan TCP套接字對象池掃描
ssdt 顯示SSDT條目
strings 物理到虛擬地址的偏移匹配(需要一些時間,帶詳細信息)
svcscan Windows服務列表掃描
symlinkscan 符號鏈接對象池掃描
thrdscan 線程對象池掃描
threads 調查_ETHREAD 和_KTHREADs
timeliner 創(chuàng)建內存中的各種痕跡信息的時間線
timers 打印內核計時器及關聯模塊的DPC
truecryptmaster 恢復TrueCrypt 7.1a主密鑰
truecryptpassphrase 查找并提取TrueCrypt密碼
truecryptsummary TrueCrypt摘要信息
unloadedmodules 打印卸載的模塊信息列表
userassist 打印注冊表中UserAssist相關信息
userhandles 轉儲用戶句柄表
vaddump 轉儲VAD數據為文件
vadinfo 轉儲VAD信息
vadtree 以樹形方式顯示VAD樹信息
vadwalk 顯示遍歷VAD樹
vboxinfo 轉儲Virtualbox信息(虛擬機)
verinfo 打印PE鏡像中的版本信息
vmwareinfo 轉儲VMware VMSS/VMSN 信息
volshell 內存鏡像中的shell
windows 打印桌面窗口(詳細信息)
wintree Z順序打印桌面窗口樹
wndscan 池掃描窗口站
yarascan 以Yara簽名掃描進程或內核內存

 

 

查看系統進程列表

volatility_2.6_win64_standalone.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 pslist

圖表 9 查看系統進程列表
圖表 9 查看系統進程列表

 

將進程列表導出為txt文件

volatility_2.6_win64_standalone.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 pslist?> Win7_SP1_x86_pslist.txt

圖表 10 進程列表及數據導出
圖表 10 進程列表及數據導出

 

查看網絡通訊連接信息

volatility_2.6_win64_standalone -f Win7_SP1_x86.vmem –profile=Win7SP1x86 netscan

圖表 11 查看網絡通訊連接信息
圖表 11 查看網絡通訊連接信息

 

提取內存中的注冊表信息

volatility_2.6_win64_standalone -f Win7_SP1_x86.vmem –profile=Win7SP1x86 dumpregistry

圖表 12?內存中的注冊表信息提取
圖表 12?內存中的注冊表信息提取

 

提取內存中的MFT記錄信息

volatility_2.6_win64_standalone -f Win7_SP1_x86.vmem –profile=Win7SP1x86 mftparser

圖表 13?內存中的MFT記錄信息提取
圖表 13?內存中的MFT記錄信息提取

 

導出內存中的MFT記錄數據

volatility_2.6_win64_standalone -f Win7_SP1_x86.vmem –profile=Win7SP1x86 mftparser –output-file=mftverbose.txt -D mftoutput

圖表 14??MFT記錄中的常駐文件的導出
圖表 14??MFT記錄中的常駐文件的導出

 

表格 2?Volatility常用命名參數及功能對照表

:以下表格中用vol.exe替代volatility_2.6_win64_standalone.exe

功能 命令行及參數
查看進程列表 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 pslist
查看進程列表(樹形) Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 pstree
查看進程列表(psx視圖) Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 psxview
查看網絡通訊連接 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 netscan
查看加載的動態(tài)鏈接庫 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 dlllist
查看SSDT表 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 ssdt
查看UserAssist痕跡 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 userassist
查看ShimCache痕跡 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 shimcache
查看ShellBags Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 shellbags
查看服務列表 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 svcscan
查看Windows帳戶hash Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 hashdump
查看最后關機時間 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 shutdowntime
查看IE歷史記錄 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 iehistory
提取注冊表數據 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 dumpregistry
解析MFT記錄 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 mftparser
導出MFT記錄 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 mftparser –output-file=mftverbose.txt -D mftoutput
獲取TrueCrypt密鑰信息 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 truecryptmaster
獲取TrueCrypt密碼信息 Vol.exe -f Win7_SP1_x86.vmem –profile=Win7SP1x86 truecryptpassphrase

 

上一篇:

相關新聞

临城县| 呈贡县| 澄城县| 图们市| 南漳县| 双城市| 五常市| 华宁县| 大厂| 大丰市| 广州市| 武冈市| 蚌埠市| 新化县| 景洪市| 大厂| 通辽市| 通辽市| 海阳市| 上蔡县| 玛沁县| 美姑县| 乌鲁木齐市| 北辰区| 仙桃市| 丘北县| 清新县| 瑞安市| 高青县| 安国市| 上高县| 石首市| 黄冈市| 长汀县| 兴安县| 萨嘎县| 上犹县| 额济纳旗| 武穴市| 宁晋县| 加查县|