最近简单的了解了一下Volatility这个开源的取证框架,这个框架能够对导出的内存镜像镜像分析,能过通过获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程等等等等~~~ 0x01 安装安装分为三步走:下载安装必要的python依赖文件安装本体下载你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可
转载
2024-05-21 10:54:16
269阅读
丁丽萍1,2+,王永吉1
1 (中国科学院软件研究所 互联网软件技术实验室,北京,100080)
2 (北京人民警察学院 警务科学研究所,北京,100029)
摘要: 计算机取证工具用于计算机证据的获取、分析、传输、存档、保全和呈堂,为了确保计算机证据有较强的证明力并具备证据的可采用标准,用于计算机取证的工具软件必须进行严格的检测。本文论述了计算机取
虚拟机文件分析 为什么要整理这篇文章呢,因为我遇到的问题实在太多了,经常因为虚拟机分区空间不足出现故障目录虚拟机文件分析 Vmmcores.gz文件Vmem文件Vmsn文件Vmx文件vmdk 文件Nvram 文件Vmsd 文件Vswp 文件Scoreboard 文件Vmxf文件DMP文件Lck文件夹Vmw
转载
2024-03-23 08:10:06
1413阅读
堆大小设置JVM 中最大堆大小有三方面限制:相关操作系统的数据模型(32-bt还是64-bit)限制;系统的可用虚拟内存限制;系统的可用物理内存限制。32位系统下,一般限制在1.5G~2G;64为操作系统对内存无限制。我在Windows Server 2003 系统,3.5G物理内存,JDK5.0下测试,最大可设置为1478m。典型设置:java -Xmx3550m -Xms3550m -Xmn2
转载
2024-07-01 18:13:50
54阅读
1.searchsploitkali自带searchsploithttps://github.com/offensive-security/exploitdb 使用案例:searchsploit smb windows remotenote:SearchSploit使用AND运算符,而不是OR运算符。使用的术语越多,滤除的结果越多 标题搜索 -tsearchsploit -t smb window
转载
2024-06-28 19:18:09
145阅读
01 安装JProfiler从http://www.ej-technologies.com/下载5.1.2并申请试用序列号02 主要功能简介1.内存剖析 Memory profilerJProfiler 的内存视图部分可以提供动态的内存使用状况更新视图和显示关于内存分配状况信息的视图。所有的视图都有几个聚集层并且能够显示现有存在的对象和作为垃圾回收的对象。所有对象显示类或在状况统计和尺码信息堆上所
转载
2024-05-16 10:14:00
306阅读
如何完全删除vmware的方法 在windows系统中安装过vmware一个版本,如果想卸载再安装其他版本可能会出现点问题,就是安装不了新的版本,也就是原来的没有卸载干净,注册表的一些键值没有删除或者没有修改,下面是完全删除vmware的方法。 解决方法 一 : 1.以本地管理员帐户登陆你的主机,关闭
中高职比赛内存取证wp
原创
2023-12-06 10:35:58
259阅读
vmmap是一个进程虚拟和物理内存分析实用程序。它显示进程提交的虚拟内存类型以及操作系统分配给这些类型的物理内存量(工作集)的细分。除了内存使用的图形化表示,vmmap还显示摘要信息和详细的进程内存映射。强大的过滤和刷新功能允许您识别进程内存使用的来源和应用程序功能的内存成本。除了用于分析活动进程的灵活视图外,vmmap还支持以多种形式导出数据,包括保存所有信息以便重新加载的本机格式。它还包括启用
转载
2024-07-18 21:44:54
65阅读
vmstat -n 3 (每个3秒刷新一次)
procs -----------memory---------- ---swap-- -----io---- --system-- ----cpu----
r b swpd free buff
block_dumpLinux 内核里提供了一个 block_dump 参数用来把 block 读写(WRITE/READ)状况转存(dump)到日志里,这样可以通过 dmesg 命令来查看。该参数表示是否打开Block Debug模式,用于记录所有的读写及Dirty Block写回动作。 缺省设置:0,表示禁用Block Debug将这个值设置为非零值,则在dmesg里记录各进程的block I
转载
2024-10-09 21:44:59
45阅读
windows下用BOSH lite方式在单个VM中安装Cloud Foundry2.x
前言Cloud Foundry组织的官方文档提供了一种方式,BOSH Lite,可以在单个VM上部署Cloud Foundry 2.x的环境。然而该文档高度浓缩,基本没有解释,而且文档是基于Linux宿主机来说明的。而我用的是windows环境,按照该文档操作折腾了
解决VS2022中选择WSL启动自动配置时卡在vsdbg下载的问题,以及解决因为取消下载再次使用WSL启动调试报错的问题
注:如果是安装一半以为卡了把控制台关了。后来使用WSL启动一直提示报错,但也不能像初次启动那样出现安装VisualStudio调试器的提示下述方法也能解决,缘由是删了子系统重装发现选择wsl启动就报错。最近在学习.NET6开发Web程序,
最早的HTTP协议中,并没有附加的数据类型信息,所有传送的数据都被客户程序解释为超文本标记语言HTML 文档,而为了支持多媒体数据类型,HTTP协议中就使用了附加在文档之前的MIME数据类型信息来标识数据类型。 MIME意为多目Internet邮件扩展,它设计的最初目的是为了在发送电子邮件时附加多媒体数据,让邮件客户程序能根据其类型进行处理。然而当它被HTTP协议支持之后,它的意义就更为显
电脑常识关于清理C盘的解决方法记录我的C盘开始分配120G,随着之后慢慢的使用和学习过程慢慢变红,于是开始搜索各种简单的方法整理C盘,方法如下:1、修改“文档”位置(1)打开我的电脑;(2)右键打开“文档”的属性;(3)由此可以看出,文档占用空间还是不少的,我的还是清理过一次之后,还有近700M;(4)单击“位置”栏,修改下方目标位置的路径,一般默认为C盘下Documents位置,我修改至D盘(按
VM虚拟机中的Ubuntu设置固定IP上网图文教程
虚拟机里设置上网方式为NAT最方便,因为无需手动设置即可上网,但是NAT的上网方式默认是DHCP动态分配IP的,这意味着你每次重启虚拟机都有不一样的IP地址,这对一般用户没任何问题
但是如果你的机子有特殊用处,比如作为服务器,需要IP地址信息,亦或者像我一样,作为一个云计算的节点,其IP都是在配置文件里配置好的,如
1. 更新虚拟机中的显卡驱动, 使虚拟机中的XWindows可以运行在SVGA模式下. 2. 提供一个vmware-toolbox, 这个Xwindows下的工具可以让你修改一些VMWare的参数和功 能. 3. 同步虚拟机和Host的时间. 4. 支持同一个分区的真实启动和从虚拟机中启动, 自动修改相应的设置文件. ########## VMware Workstation 从软盘和/或 CD
转载
2024-10-09 14:52:42
46阅读
一、安装虚拟机1、什么是VMware Workstation?答:VMware Workstation(中文名“威睿工作站”)是一款功能强大的桌面虚拟计算机软件,提供用户可在单一的桌面上同时运行不同的操作系统,和进行开发、测试 、部署新的应用程序的最佳解决方案。VM具体介绍可看百度百科:[https://baike.baidu.com/item/VMware%20Workstation/98843
无需修改注册表 ,无需自行写程序,无需打命令。 ctfmon.exe 是一个随系统自动启动的进程,其作用为进行输入法管理,然而,其6M
转载
2024-09-03 19:11:09
44阅读
1.3 取证审查方法与任何取证研究一样,这里提供几种方法用于信息获取和分析。无论用任何方式进行信息获取都不能修改源信息,这是信息获取的关键,也可以说是最重要的一点。如果在一些实时系统或移动设备上获取信息时无法避免要修改源信息,那么分析者必须说明修改的细节以及必须作此修改的原因。移动领域取证与传统的计算机取证不一样,传统的计算机取证,你可以拆下硬盘,连上数据恢复工具write blocker,然后映
转载
2024-08-06 23:04:20
170阅读
