获取dump的系统版本 列出进程 常见的命令 查看cmd历史记录 查找flag文件 得知flag文件 ...

这次Hgame在week3出了一个关于内存取证的题目，毫无取证基础的我有些懵，于是开始了学习。 内存取证是什么 通常指对计算机中临时数据进行获取与分析，提取有价值的数据，达到想要达到的目的。 取证工具 工具有好多，例如volatility、取证大师、PTF等等，在这里将主要介绍神器 ...

环境：kali 0x00 volatility官方文档 https://github.com/volatilityfoundation/volatility 在分析之前，需要先判断当前的镜像信息 ...

工具下载： Linux环境 apt-get install volatility 各种依赖的安装，（视情况安装） #Distorm3:牛逼的反编译库 pip inst ...

　　几道内存取证的题目拿来做一下。 [V&N2020 公开赛]内存取证 　　开局给了给了一个raw文件。 　　先看一下镜像文件的基本信息。 　　这步一般是为了得到文件的profile。 　　直接一点，搜一搜有没有名为flag的文件 　　看一看 ...

centos7中安装volatility3参考https://blog.csdn.net/Cony_14/article/details/109230474 简介：2019年后，volatility ...

最近参加了45届世界技能大赛的山东选拔赛，样题里有一个题如下： 师傅好不容易拿到了压缩包的密码，刚准备输入，电脑蓝屏 了。。。 = ="，题意简单明了，易于理解。一看就是内存取证的题并且已经有了内存转储文件了。 废话不多说，拿到hint就开始动手吧，先把文件下载下来，发现是一个7z的压缩包 ...

内存取证原理与实践 1 内存取证技术概述 1.1 计算机取证技术 1.2 计算机取证技术的发展 1.3 计算机取证类型 1.3.1 离线取证 1.3.2 在线取证 1.4 内存取证 1.5 本章小结 2 内存取证基础知识 2.1 PC硬件架构 2.1.1 中央处理器和内存管理 ...