最新消息:

调查取证之文字还原

网络取证 Eternal 15220浏览 0评论

场景:将 dump 下来的 windows 进程内存中的数据内容,以明文形式还原。

利用工具:

procdump?

strings

首先我打开记事本,写入以下内容:

并使用 CMD tasklist 命令来查看进程情况。可以看到,notepad.exe 已经成功打开。

20161115092823

接着我们使用 procdump 将 noetpad.exe 的进程数据 dump 下来,并保存为 notepad.dmp 文件:

procdump.exe -ma notepad.exe notepad.dmp

20161115093012

成功 dump 进程数据!

20161115093045

下面我们使用 strings 将 dmp 文件导出成 txt 文本文件:

strings.exe notepad.dmp > notepad.txt

20161115093355

使用 dir 查看是否导出成功。可以看到,已经成功导出数据并保存!

20161115093522

双击打开该文本文件,使用 Ctrl+F 来查找关键字 http://www.secist.com 很快就搜索到了我们之前保存的内容!

20161115093651

转载请注明:即刻安全 » 调查取证之文字还原

您必须 登录 才能发表评论!

网友最新评论 (1)



合作伙伴