1回答
为了执行内存取证(例如,检测恶意软件攻击),我正在设法在码头容器上执行内存转储。我希望能够执行在虚拟机上使用的相同方法。问题是,坞容器(和任何类型的linux容器)以不同的方式使用内存-容器共享资源,使用名称空间和cgroup.如何处理这个问题?
提前感谢!
浏览 4提问于2014-07-21得票数 5
回答已采纳
1回答
显然,人们可以从英特尔文档中找出所有这些结构(以及所有版本)的布局,但我想知道是否已经有任何简单的工具来解码它们。
浏览 1提问于2017-06-09得票数 3
1回答
我目前正在写一篇关于数字取证的论文,其中包括一个关于记忆取证的章节。除了这些工具和获取各种数据的方法之外,我很想找到这些工具(如波动率)在理论上是如何工作的信息。例如,他们如何通过查看原始转储或任何其他方式来识别偏移量、进程、连接、内存差异(取决于操作系统)。
内存分析工具是如何工作的?他们用什么方法?我似乎找不到关于这件事的多少信息。
浏览 0提问于2014-07-27得票数 4
回答已采纳
我试图为我们的数据中心服务器整合一组安全工具。我们主要是Linux商店(RHEL)和一些Windows 2008/12服务器。同时,我们采用NIST 800-53标准,并根据要求,暗示了取证工具的实现。根据您的最佳实践,您会在服务器场中部署硬盘取证工具(如EnCase或FTK )吗?
浏览 0提问于2015-08-21得票数 2
2回答
我是一名信息安全分析员,最近受命研究事故反应+计算机取证相关的主题。首先,我正在运行Windows764位SP1的个人电脑上进行实验。我下载了一个名为波动性的实时内存分析工具,并尝试了第一个命令:我有一个错误,说我没有图像或文件进行分析,并意识到我不知道如何将实时的O/S内存转储到文件中。我在谷歌上搜索了一些工具,比如encase,h
浏览 0提问于2012-08-18得票数 5
回答已采纳
我使用DumpIt工具将内存转储到原始文件中进行取证工作。但它有一个问题,有时我只想转储特定进程,如cmd或记事本,而不是转储所有当前进程。
浏览 15提问于2018-08-04得票数 0
1回答
我知道vmware在暂停时会将整个内存写入一个.vmem文件。获取映像的平台是Windows XP。我知道有一些工具可以做到这一点,但它们大多是封闭源代码的,或者不能在Windows XP上运行。
浏览 2提问于2011-11-18得票数 3
回答已采纳
我正在做我在android手机取证方面的研究。我想使用open()和read() linux调用来访问android手机内部内存。我使用NDK在c中实现了这些调用。("/dev/block/mmcblk0",O_RDONLY); return size;//fd;
所以当我试图打开内存时
浏览 12提问于2013-08-07得票数 0
据我所知,休眠保存内存内容并将它们压缩到hiberfile.sys文件中。但也有第三方工具,如Belkasoft RAM捕获器,它读取整个RAM和保存文件。
问题是:这两个内存转储之间有什么区别吗?在取证方面,哪一个更“详细”或“更好、更多”?
浏览 0提问于2019-09-18得票数 0
回答已采纳
1回答
我有一个128 as的RAM服务器,内核4.18.0-305.7.1.el8_4.x86_64,"dmesg _ grep内存“输出如下:
0.000000内存:1282732K/133708404 K我知道“133708404 K”表示系统拥有的内存总量,那么内核"1282732K“意味着什么呢?128 be中只有1.2GB可以使用吗?
浏览 0提问于2022-08-21得票数 0
回答已采纳
我即将对linux物理内存进行取证调查。我已经转储了一个ARM Linux,它的配置文件没有在易失性中列出,所以我可以使用十六进制编辑器找到进程和最新的命令。通过十六进制编辑器,我可以在内存转储中看到一些信息,有谁可以帮助我如何找到其余的信息。在创建波动性配置文件之前,是否有必要找到每个信息的所有偏移量和地址空间?
浏览 3提问于2014-02-18得票数 0
我使用了工具fmem来创建内存转储dd文件。效果很好。
但是我怎样才能访问这个图像呢?我已经用mount尝试过了,但是它说我必须指定一个文件系统。但不具备一定的可能性(ext4、vfat等)。
浏览 0提问于2014-06-08得票数 2
就像mint是“最完整的开箱即用体验”,即用户友好,或者“openSUSE项目有三个主要目标”,然后列出三个明确的目标,kali拥有“安全和取证工具的集合”,或者是非常简单的和手动的安装工具。但是Ubuntu和Debian似乎只是“一个稳定的linux发行版”。这就是他们的吸引力吗?
浏览 0提问于2017-06-12得票数 0
回答已采纳
4回答
我得到了学校的一份作业,在那里我得到了一个受损系统的虚拟映像。我需要做的第一件事是设置一个环境,我们可以挂载映像。我需要选择一个操作系统,我想知道:我应该选择什么,为什么?如果有人能给我指点的话,我会很感激的!谢谢
浏览 0提问于2014-02-10得票数 9
回答已采纳
我知道读取RAM部分是可能的(欺骗引擎很容易做到这一点),但实际上是检测位于某个进程内存中的某种类型的对象的任务。知道变量名对我有帮助吗?内存中是否有一个包含所有变量地址的列表?
浏览 0提问于2013-05-12得票数 1
回答已采纳
如果您知道登录凭据和计算机名称,是否可以在不启动windows的情况下从注册表中读取证书。我写了一个小工具,可以自动从标准的windows用户文件夹中复制数据,比如我的文档。这个工具是实时linux发行版的一部分,当我们从以前的版本过渡到我们的IT时,我们使用它来复制用户数据。唯一的问题是,我们不能以这种方式获得认证,如果可能的话,我想解决这个问题。
浏览 4提问于2010-07-03得票数 0
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
