Memtriage是一个Windows内存取证工具。该工具使用Winpmem抓取内存转储,并使用Volatility对其进行分析。
注意事项:
启用设备保护后,该工具将无法正常工作。
它应该在部署前在机器上进行测试
Volatility 插件当前支持以下插件:
列举进程
dlllist
ldrmodules
模块
处理
玛芬德
driverirp
psxview
混合动力车
svcscan
getsids
vadinfo
工具
内核命令行
envars
veri info
原子
shimcachemem
apihooks
脱壳工具
dlldump
moddump
转储文件
volshell
使用示例 usage: memtriage.exe [-h] [--unload] [--load] [--debug] [--service SERVICE] [--output OUTPUT] [--dumpdir DUMPDIR] [--base BASE] [--offset OFFSET] [--memory MEMORY] [--pid PID] [--leave] [--plugins PLUGINS] [--physoffset PHYSOFFSET] [--physical] [--ignore] [--regex REGEX] [--name NAME] [--keepname] Memtriage options: optional arguments: -h, --help 显示帮助信息并退出 --unload 卸载驱动程序并退出 --load 加载驱动程序并退出 --debug 运行时输出调试消息 --service SERVICE 更改服务名称(默认为:pmem) --output OUTPUT 输出类型:json/text/csv --dumpdir DUMPDIR 将文件转储到的目录 (dlldump,procdump,moddump,vaddump,dumpfiles) --base BASE 转储PE文件 (dlldump,procdump,moddump) --offset OFFSET 进程物理偏移量 (dlldump,procdump,moddump,vaddump,dumpfiles) --memory MEMORY Carve作为一个内存样本而不是exe/disk (dlldump,procdump,moddump) --pid PID 对此进程ID进行操作 --leave 让pmem服务与驱动程序一起运行 --plugins PLUGINS 以逗号分隔要运行的插件列表:dlldump netscan cmdline procdump envars moddump handles dlllist psxview vadinfo dumpfiles svcscan malfind atoms apihooks volshell vaddump privs driverirp shimcachemem ldrmodules modules verinfo pslist getsids --physoffset PHYSOFFSET 在物理地址PHYSOFFSET转储文件对象 (dumpfiles) --physical 显示对象的物理地址 (pslist,handles,modules) --ignore 忽略模式匹配中的大小写(dumpfiles,verinfo) --regex REGEX 转储匹配REGEX的文件 (dumpfiles,driverirp,privs) --name NAME 要操作的进程/对象的名称 --keepname 保留原始文件名 (dumpfiles) --outfile OUTFILE 合并输出文件 (默认为:stdout) 无需指定配置文件mem分流将自动找到配置文件,并选择使用适当的设置运行。如果没有精确的匹配,Memtriage将尝试使最近的命名配置文件可用。因此,对象定义可能排列不准确(如进程名等)。),并且在用不正确的配置文件运行Volatility时可能会看到。您可以将配置文件添加到Volatility代码中,可执行文件将由pyinstaller重新编译。
装卸司机
默认情况下,memtriage.exe将尝试在首次运行时加载驱动程序,并在退出时卸载它。此外,您还可以使用–加载和–卸载选项手动加载和卸载驱动程序。您也可以使用–leave选项来保持插件在运行后加载。
>。mem伤检分类. exe-leave-plugins = dump files-dump dir = outdir-phys offset = 1066160184-keepname服务名称
创建的默认服务名是pmem。您可以使用–service =选项来指定另一个服务名称。如果您保持驱动程序加载,您必须在将来的调用中使用此选项。示例:
>。memtriage.exe-离开-服务=某些名称-插件=dlllist - pid=2924 [snip]>;mem伤检分类. exe-unload-service = somename运行插件
您可以使用–plugins =选项指定同时执行多个插件,用逗号分隔。示例:
>。memtriage.exe-插件=pslist,handles,dlllist
其他选项:
>。mem伤检分类. exe-plugins = pslist,handles,dlllist,dllddump,dumpfiles,shimcachehem,vol shell-outfile = outfile . txt-PID = 2924-dump dir = outir-leave-keep name-phys offset = 106616016
你可以在这里下载这个工具,包括pyinstaller的独立可执行文件:https://github.com/gleeda/memtriage/releases
*参考资料来源:github,FB边肖secist编译,请指出它来自FreeBuf.COM
1.《triage Memtriage:一款Windows内存取证工具》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《triage Memtriage:一款Windows内存取证工具》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/guoji/1585949.html
Chrome 浏览器强大的地方之一在于支持相当丰富的扩展,碰到网页截图的情况,Awesome Screenshot、Nimbus Screenshot等已经是大家熟知的截图扩展应用,而 Chrome 更吸引人的地方在于,产品本身保持简洁,同时也内置了实用的功能,同样用户无需安装任何扩展的前提下,利用 Chrome 原生工具也可以实现网页截图效果。Chrome浏览器的优势之一就是支持丰富的扩展。说到网页截图,Awesome截图和Nimbus截图已经是众所周知的截图扩展应用了。Chrome更吸引人的是产品本身简单,内置实用功能。在用户不需要安装任何扩展的前提下,使用Chrome原生工具也可以达到网页截图的效果。 
Chrome 原生的截图功能隐藏在开发者工具中,Windows 平台按下 F12快速调出开发者调试工具界面(macOS 系统快捷键为⌘Command + ⌥Option + I)Chrome的原生截图功能隐藏在开发者工具中。在Windows平台上按F12键可以快速调出开发者调试工具界面(macOS系统的快捷键是⌘Command+⌥Option+I)
网页长截图。输入命令Capture full size screenshot实现整张网页长截图,Chrome 会自动将整个网页内容截取并保存至本地电脑,整个截取速度和效果上都有着不错的表现。命令功能抓取全尺寸截图网页长截图抓取截图抓取网页可视区域抓取区域截图选择部分区域抓取节点截图抓取手机版网页长截图长图。输入Capture全尺寸截图命令,实现整个网页的长截图。Chrome会自动抓取并保存整个网页内容到本地电脑,整体抓取速度和效果都有不错的表现。 
截取网页可视区域。输入命令Capture screenshot将当前网页显示的区域自动截图并保存到本地。截取网页的可见区域。输入命令捕获屏幕截图,自动捕获当前网页上显示的区域并保存在本地。
