Volatility 内存数字取证方法
计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是那种取证方式,都应尽量避免破环犯罪现场,例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作,这里将研究内存的取证技术中的活取证。只能检索命令行历史 volatility -f winxp.raw --profile=WinXPSP3x86 cmdscan。需要配合两个文件的地址,才能dump出密码。转储文件后通过windbg分析。
