取消
普通评论
普通评论

借助Rekall进行内存实时分析

嘶吼RoarTalk2019-01-25 10:03
Rekall内存
信息安全 收藏

  工作中,使用过Volatility进行内存取证的朋友可能已经注意到了,它有一个缺点:无法进行实时内存分析。那么,如果需要实时内存取证的话,该怎么办呢?别急,这时候Rekall就可以派上用场了。

  Rekall的下载地址如下所示:

  https://github.com/google/rekall/releases

  Rekall支持以下操作系统:

  · Microsoft Windows XP Service Pack 2和3

  · Microsoft Windows 7 Service Pack 0和1

  · Microsoft Windows 8和8.1

  · Microsoft Windows 10

  · Linux Kernels 2.6.24以及后续版本

  · OSX 10.7-10.12.x

  在本文中,我将使用Windows平台下的Rekall软件,该软件的安装非常简单,这里就不介绍了。

  需要注意的是,Rekall需要以管理员身份运行才能执行实时分析。此外,有时还必须指定相应的配置文件才能进行分析。为了找到正确的配置文件,请在Rekall控制台中键入以下命令:

  version_scan name_regex="krnl"

  然后,还需要找到ntkrnlmp.pdb的guid

借助Rekall进行内存实时分析

  就这里来说,它为“5B396742883C48D0AB74C7374DEEE9161”。

  现在,请输入下列命令,以退出rekall控制台:

  quit

  接着,使用以下命令再次运行rekall(注意,在命令中提供了相应的guid):

  rekal live --profile=nt/GUID/5B396742883C48D0AB74C7374DEEE9161

  这样,我们就可以跟rekall一起玩耍了,具体如下所示:

  列出可用的插件

  dir(plugins)

借助Rekall进行内存实时分析

  列出正在运行的进程:

  pslist

借助Rekall进行内存实时分析

  列出进程树:

  pstree

借助Rekall进行内存实时分析

  查看服务并将输出保存到services.txt文件中:

  services(output="services.txt")

责任编辑:韩希宇

点击加载

点击加载

发送
普通评论
发送
普通评论
普通评论

为你推荐

暂无相关推荐