总体思路:
一.解析Windows/Linux/Mac Os的内存结构
二.分析进程数据,内存数据。
三.根据题目提示寻找线索和思路,进而提取分析指定进程的特定内存数据。
常见的内存文件格式:img、dmp、raw、vmem等。
实际具体操作:
1.拿到内存镜像文件时首先要确定镜像的基本信息(此处以文件memory.img文件为例说明)
命令:volatility -f memory.img imageinfo
找到大概分析的镜像所属系统的基本信息,以及配置文件。
2.得到配置文件后,根据对应的配置文件进行相应的查询
a.查看系统开放端口以及连接情况(发现可疑进程、可疑连接
命令: volatility -f memory.img —profile=Win2003SP1x86 netscan
可能有的镜像文件没有会报错: