• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    借助Rekall进行内存实时分析

    来源:嘶吼RoarTalk 2019-01-25 10:03:04 Rekall 内存 金融安全
         来源:嘶吼RoarTalk     2019-01-25 10:03:04

    核心提示工作中,使用过Volatility进行内存取证的朋友可能已经注意到了,它有一个缺点:无法进行实时内存分析。那么,如果需要实时内存取证的话,该怎么办呢?别急,这时候Rekall就可以派上用场了。

      工作中,使用过Volatility进行内存取证的朋友可能已经注意到了,它有一个缺点:无法进行实时内存分析。那么,如果需要实时内存取证的话,该怎么办呢?别急,这时候Rekall就可以派上用场了。

      Rekall的下载地址如下所示:

      https://github.com/google/rekall/releases

      Rekall支持以下操作系统:

      · Microsoft Windows XP Service Pack 2和3

      · Microsoft Windows 7 Service Pack 0和1

      · Microsoft Windows 8和8.1

      · Microsoft Windows 10

      · Linux Kernels 2.6.24以及后续版本

      · OSX 10.7-10.12.x

      在本文中,我将使用Windows平台下的Rekall软件,该软件的安装非常简单,这里就不介绍了。

      需要注意的是,Rekall需要以管理员身份运行才能执行实时分析。此外,有时还必须指定相应的配置文件才能进行分析。为了找到正确的配置文件,请在Rekall控制台中键入以下命令:

      version_scan name_regex="krnl"

      然后,还需要找到ntkrnlmp.pdb的guid

    借助Rekall进行内存实时分析

      就这里来说,它为“5B396742883C48D0AB74C7374DEEE9161”。

      现在,请输入下列命令,以退出rekall控制台:

      quit

      接着,使用以下命令再次运行rekall(注意,在命令中提供了相应的guid):

      rekal live --profile=nt/GUID/5B396742883C48D0AB74C7374DEEE9161

      这样,我们就可以跟rekall一起玩耍了,具体如下所示:

      列出可用的插件

      dir(plugins)

    借助Rekall进行内存实时分析

      列出正在运行的进程:

      pslist

    借助Rekall进行内存实时分析

      列出进程树:

      pstree

    借助Rekall进行内存实时分析

      查看服务并将输出保存到services.txt文件中:

      services(output="services.txt")

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定