欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Memtriage:一款Windows内存取证工具

来源:本站整理 作者:佚名 时间:2018-08-08 TAG: 我要投稿

memtriage是一款Windows内存取证工具。该工具使用Winpmem来抓取内存dump,并使用Volatility进行分析。
注意事项:
当启用Device Guard时,该工具将无法正常工作;
应该在部署之前在机器上进行测试
Volatility 插件
以下是当前所支持的插件:
pslist
dlllist
ldrmodules
modules
handles
malfind
driverirp
psxview
privs
svcscan
getsids
vadinfo
netscan
cmdline
envars
verinfo
atoms
shimcachemem
apihooks
procdump
dlldump
moddump
dumpfiles
volshell
使用示例
usage: memtriage.exe [-h] [--unload] [--load] [--debug] [--service SERVICE]
                     [--output OUTPUT] [--dumpdir DUMPDIR] [--base BASE]
                     [--offset OFFSET] [--memory MEMORY] [--pid PID] [--leave]
                     [--plugins PLUGINS] [--physoffset PHYSOFFSET]
                     [--physical] [--ignore] [--regex REGEX] [--name NAME]
                     [--keepname]
Memtriage options:
optional arguments:
  -h, --help            显示帮助信息并退出
  --unload              卸载驱动程序并退出
  --load                加载驱动程序并退出
  --debug               运行时输出调试消息
  --service SERVICE     更改服务名称(默认为:pmem)
  --output OUTPUT       输出类型:json/text/csv
  --dumpdir DUMPDIR     将文件转储到的目录
                        (dlldump,procdump,moddump,vaddump,dumpfiles)
  --base BASE           转储PE文件 (dlldump,procdump,moddump)
  --offset OFFSET       进程物理偏移量
                        (dlldump,procdump,moddump,vaddump,dumpfiles)
  --memory MEMORY       Carve作为一个内存样本而不是exe/disk
                        (dlldump,procdump,moddump)
  --pid PID             对此进程ID进行操作
  --leave               让pmem服务与驱动程序一起运行
  --plugins PLUGINS     以逗号分隔要运行的插件列表:dlldump
                        netscan cmdline procdump envars moddump handles
                        dlllist psxview vadinfo dumpfiles svcscan malfind
                        atoms apihooks volshell vaddump privs driverirp
                        shimcachemem ldrmodules modules verinfo pslist getsids
  --physoffset PHYSOFFSET
                        在物理地址PHYSOFFSET转储文件对象
                        (dumpfiles)
  --physical            显示对象的物理地址
                        (pslist,handles,modules)
  --ignore              忽略模式匹配中的大小写(dumpfiles,verinfo)
  --regex REGEX         转储匹配REGEX的文件 (dumpfiles,driverirp,privs)

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载