识别不出内存镜像版本的取证
直接使用 010 手搓或者用 Strings 命令把可打印字符保存到文本文件中再手搓
需要从内存中找到 AES 解密的 key 的情况:可以使用 findaes.exe 工具辅助查找
工具
dmp文件
- 拉入Passware Kit Forensic-Memory Analysis进行分析(用户名和密码)
- 使用vol分析
lsass.DMP文件
直接使用mimikatz或者pypykatz分析
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords
pypykatz lsa minidump lsass.DMP
dump文件
“dmp” 通常特指 Windows 的崩溃转储文件,而 “dump” 是一个更为通用的术语,可以用于描述各种数据转储操作或文件。
取证方法大致和dmp文件相同
mem文件
vol.py -f mem imageinfo
raw文件
可以直接使用 vol2 或者 vol3 进行内存取证