Kail記憶體驗證簡要

xmount挂載e01格式磁盤檔案

​

​xmount --in ewf --out vdi --cache ./Disk.cache ./PLEXTOR\ PX-128M5Pro.e01 ./mnt/

輸出的vdi格式檔案可以通過virtualbox 還原

• --out vdi 為輸出鏡像格式
• ./Disk.cache ./****.e01 為檢材檔案格式，有關更多 E01 格式可參考
• ./mnt 為目标挂在卷，輸出的vdi格式鏡像将會被挂載到此目錄下

bulk_extractor記憶體驗證

​bulk_extractor -o ./out DESKTOP-D7AP30M-20200605-082800.raw 

擷取url通路曆史、電話号碼、email等資訊并輸出到./out目錄下

有關bulk_extractor詳細用法可

參考

volatility 記憶體驗證

volatility文檔 command

volatility -f DESKTOP-D7AP30M-20200605-082800.raw imageinfo #擷取鏡像資訊
volatility -f DESKTOP-D7AP30M-20200605-082800.raw --profile=Win10x64_17134 pslist #列出程序
volatility -f DESKTOP-D7AP30M-20200605-082800.raw --profile=Win10x64_14393 truecryptsummary #列出加密摘要      

url_decode

python有url轉中文字元的庫

# coding:utf-8
import urllib.parse

with open('url_keyword.txt') as f:
    result = f.read()
    print(urllib.parse.unquote(result))