内存取证 wjh 收录于 Default2021-09-21 2024-02-11 约 6800 字 预计阅读 14 分钟 - 次阅读 - 条评论 目录 volatility1.pslist 查看进程的地址 +pid+ 进程名 psscan psdispscan3.iehistory + grep 查找是否访问了百度网盘等关键信息4.查看删除了的文件5.账户密码6.hivelist + netscan7.channel(windows)8.dlllist9.handles10.cmdscan cmdline consoles10.dumpfiles11.procdump12.envars13.verinfo12.modscan+moddumpmod 有什么用?13.driverScan14.filescan+grep15.symlinkscan16.thrdscan or threads17.printkey18.lsadump19.patcher20.svcscan21.scrennshot22.editbox23.strings 的使用万金油 timeliner不会的点vadinfo vadwalk vadtree + vaddumpevtlog扫描检查外挂程式bitlocker 加密缩略图中觅踪迹知识积累获取 SAM 表中的用户获取最后登录系统的账户恶意感染路径MFT好用的 grepgrep+ 正则匹配ppid 和 piddll可疑的进程名malware infection findContinue the search after the the way that malware got in恶意软件提供的比特币地址strings 技巧恶意软件加密extundelete 恢复文件FAT12winhex veracryptChrome 离线存储密码Raids 进入 重新加密Please enable JavaScript to view the comments powered by Twikoo.
wjh 收录于 Default
wjh 收录于 Default
wjh 收录于 Default