内存取证-easy_mem_1

unable code2026-02-14 19:17

步骤

方法一:vol3

1.获取镜像信息(版本号)

bash 复制代码 
vol3 -f 20241029-055419.dmp windows.info

各字段含义:

复制代码 
Kernel Base: 内核的基地址,这通常是内存中 Windows 内核映像(ntoskrnl.exe)的加载地址。
DTB: Directory Table Base,是指向进程页表的指针,通常用于内存管理。
Symbols: 指向符号文件的路径,用于在分析过程中解析内核符号。符号文件帮助工具识别内存中的函数和变量。
Is64Bit: 指示操作系统是否是64位版本。
IsPAE: 指示是否启用了物理地址扩展(PAE),这通常用于32位系统以支持超过4GB的物理内存。
layer_name: 这是内存层的名称,表示当前分析的内存层。
memory_layer: 表示内存层的类型,这里是 WindowsCrashDump64Layer,意味着这是一个64位的 Windows 崩溃转储文件。
base_layer: 基础层的名称,通常是文件层。
KdVersionBlock: 指向内核调试版本块的指针,包含有关内核版本的信息。
Major/Minor: Windows 内核的主版本和次版本号。
MachineType: 表示处理器架构类型,这里 34404 对应于 x64 架构。
KeNumberProcessors: 系统中的处理器数量。
SystemTime: 系统时间,表示内存转储时的系统时间。
NtSystemRoot: Windows 操作系统的根目录(通常是 C:\WINDOWS)。
NtProductType: 表示 Windows 操作系统的产品类型(例如,工作站、服务器)。
NtMajorVersion/NtMinorVersion: Windows 操作系统的主版本号和次版本号。
PE MajorOperatingSystemVersion/PE MinorOperatingSystemVersion: PE(可移植可执行)文件格式中记录的操作系统版本号。
PE Machine: PE 文件格式中记录的目标机器类型。
PE TimeDateStamp: PE 文件头中的时间戳,通常表示文件编译的时间。

build版本号:22621

2.获取ip地址

bash 复制代码 
vol3 -f 20241029-055419.dmp windows.netstat

IP地址:192.168.26.129

3.获取计算机名

bash 复制代码 
vol3 -f 20241029-055419.dmp windows.registry.hivelist
vol3 -f 20241029-055419.dmp windows.registry.printkey --offset="0xbb8f1345e000"
vol3 -f 20241029-055419.dmp windows.registry.printkey --offset="0xbb8f1345e000" --key ControlSet001
vol3 -f 20241029-055419.dmp windows.registry.printkey --offset="0xbb8f1345e000" --key ControlSet001\Control
>vol3 -f 20241029-055419.dmp windows.registry.printkey --offset="0xbb8f1345e000" --key ControlSet001\Control\ComputerName
vol3 -f 20241029-055419.dmp windows.registry.printkey --offset="0xbb8f1345e000" --key ControlSet001\Control\ComputerName\ComputerName

计算机名:ZHUYUN_S_PC

ctfshow{ZHUYUN_S_PC_192.168.26.129_22621}

方法二:lovelymemlite

方法三:memprocfs

加载镜像

bash 复制代码 
MemProcFS.exe -device "D:/20241029-055419.dmp" -v -forensic 1

等待加载完毕,内容在m盘中,在sys/sysinfo/sysinfo.txt中可以找到主机名等。

方法四:Windbg

windbg导入文件等待加载完成。

1.在Command窗口中输入version获取版本号

2.输入!PEB获取环境变量

3.通过strings过滤192.168获取ip地址

bash 复制代码 
strings.exe D:\DownLoads\取证\内存\20241029-055419\20241029-055419.dmp | wsl grep "192.168"

方法五:AXIOM

AXIOM打开镜像并分析。(这里我只可以找到计算机名)

1.在使用痕迹-标识符设备中找到计算机名。

相关推荐
网络安全许木2 小时前
自学渗透测试第20天(防火墙基础与规则配置)
运维·服务器·网络·网络安全·渗透测试
Chengbei114 小时前
业务视角下的金融SRC快速挖掘思路
网络·安全·web安全·网络安全·金融·系统安全·网络攻击模型
姬成韶4 小时前
BUUCTF--[网鼎杯 2020 朱雀组]phpweb
web安全·网络安全·代码审计
兄弟加油,别颓废了。5 小时前
PHPstudy安装靶场
网络安全
一名优秀的码农5 小时前
vulhub系列-73-RA1NXing Bots(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
Y学院5 小时前
隐蔽防线,智护互联——网络安全隧道技术的核心价值与实践应用
web安全·网络安全
一袋米扛几楼986 小时前
【密码学】公钥密码学 Public-Key Cryptography,为什么需要公钥密码?
网络安全
深邃-6 小时前
【Web安全】-Kali,Linux基础:Kali系统安装,Kali鼠标不显示(版本问题),Linux系统介绍(1)
linux·计算机网络·安全·web安全·网络安全·系统安全·网络攻击模型
深邃-6 小时前
【Web安全】-Kali,Linux基础:Linux终端介绍,Linux文件操作,Linux文件编辑(2)
linux·计算机网络·安全·web安全·网络安全·系统安全·安全威胁分析
你觉得脆皮鸡好吃吗7 小时前
什么是SQL注入(入门详解)
数据库·sql·网络安全
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free042026年4月AI大事件深度解读:大模型竞争进入“深水区“05Claude Code Windows 兼容性问题:指定版本 2.1.112 可解决06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07UBUNTU Claude Code 报错 claude native binary not installed08近期有什么ai的新消息,新动态? 2026.4月09从限购到畅通:GLM-5.1 Coding Plan接入攻略10从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程