分析镜像： 查看进程： 列出我认为的可疑的进程： dump记事本、画图进程： 2648.bmp的后缀改为data 查看IE浏览器历史: 我的水平只能做到这了 赛后复现 ...

　　几道内存取证的题目拿来做一下。 [V&N2020 公开赛]内存取证 　　开局给了给了一个raw文件。 　　先看一下镜像文件的基本信息。 　　这步一般是为了得到文件的profile。 　　直接一点，搜一搜有没有名为flag的文件 　　看一看 ...

centos7中安装volatility3参考https://blog.csdn.net/Cony_14/article/details/109230474 简介：2019年后，volatility ...

这次Hgame在week3出了一个关于内存取证的题目，毫无取证基础的我有些懵，于是开始了学习。 内存取证是什么 通常指对计算机中临时数据进行获取与分析，提取有价值的数据，达到想要达到的目的。 取证工具 工具有好多，例如volatility、取证大师、PTF等等，在这里将主要介绍神器 ...

最近参加了45届世界技能大赛的山东选拔赛，样题里有一个题如下： 师傅好不容易拿到了压缩包的密码，刚准备输入，电脑蓝屏 了。。。 = ="，题意简单明了，易于理解。一看就是内存取证的题并且已经有了内存转储文件了。 废话不多说，拿到hint就开始动手吧，先把文件下载下来，发现是一个7z的压缩包 ...

获取dump的系统版本 列出进程 常见的命令 查看cmd历史记录 查找flag文件 得知flag文件 ...

V&N面试得到的收获 前言 前两天面了V&N，面试中遇见了很多问题，给我面试的师傅也热心的给出了解答。 先找一下自己得不足叭: 开发不够深入，对java得理解还是不够熟悉和了解。 爆肝了一段时间的ctf题，但是缺少对文章及其他重要的东西得研究，P3师傅也说不能只 ...

volatility 简介: volatility(挖楼推了推) 是一个开源的框架，能够对导出的内存镜像进行分析，能够通过获取内核的数据结构，使用插件获取内存的详细情况和运行状态，同时可以直接dump系统文件，屏幕截图，查看进程。 官网下载地址:https ...