内存取证基础——macos
识别不出内存镜像版本的取证
直接使用 010 手搓或者用 Strings 命令把可打印字符保存到文本文件中再手搓
需要从内存中找到 AES 解密的 key 的情况:可以使用 findaes.exe 工具辅助查找
工具
dmp文件
- 拉入Passware Kit Forensic-Memory Analysis进行分析(用户名和密码)
- 使用vol分析
lsass.DMP文件
直接使用mimikatz或者pypykatz分析
1 | sekurlsa::minidump lsass.dmp |
1 | pypykatz lsa minidump lsass.DMP |
dump文件
“dmp” 通常特指 Windows 的崩溃转储文件,而 “dump” 是一个更为通用的术语,可以用于描述各种数据转储操作或文件。
取证方法大致和dmp文件相同
mem文件
1 | vol.py -f mem imageinfo |
raw文件
可以直接使用 vol2 或者 vol3 进行内存取证
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 小chen妙妙屋!
评论