内存取证——文件文件 notepad里的秘密(二)
文件 notepad里的秘密(二)0x00文接上文,前一篇关于内存取证读取进程。这篇总结一下,内存取证读取文件。0x01step1:常规操作,先读取内存类型:step2:可以得到profile类型 WinXPSP2x86 -f 指定文件。看进程?还像上一题?不存在的!出来很多文件,但是没有notepad进程。step3:昨天阅读帮助,今天又读了一遍,发现我们除了进程,还可以查看文件,命令:vola...
