创作背景在处置应急事件过程,经常会遇到以下几个场景:日志没有任何异常、日志文件被清除、日志文件被加密,无法通过主机日志进行取证;主机上面没有落地的恶意文件,无法通过文件落地时间进行…
关于DumpyDumpy是一款针对LSASS数据的动态内存取证工具,该工具专为红队和蓝队研究人员设计,支持重新使用打开的句柄来动态转储 LSASS。运行机制Dumpy可以动态调用 …
背景与工具内存是计算机或其他数字设备运行时必要的组成部分,所有程序的运行,CPU的运算数据以及硬盘等外部存储设备交换的数据都在内存中进行,这些数据通常在程序关闭或设备关机重启时丢失…
前言随着信息技术的迅猛发展,网络安全事件和计算机犯罪行为日益增多,计算机取证在网络安全和法律诉讼中变得尤为重要。计算机取证不仅需要专业的工具和设备,还需要详细的操作步骤和命令以确保…
本文由安全研究人员Amr Ashraf发表于Cyber5w的官方博客,研究人员在本文中讨论了如何对可疑设备中的内存映像进行安全调查,并利用了Volatility 3和MemProc…
一、基本介绍概念:Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。适用:windows…