當前位置：首頁 > 运维知识 > windows >内容正文

windows

kali 安装volatility_kali对Windows内存在线取证

發布時間：2024/2/28 windows 28 豆豆

生活随笔收集整理的這篇文章主要介紹了 kali 安装volatility_kali对Windows内存在线取证小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

在kali系統上，有VOLATILITY等工具，可以方便的完成內存鏡像取證等工作，如何將Windows系統內存鏡像數據給VOLATILITY分析呢？除了通過DumpIt等第三方工具鏡像為文件外，本文將介紹一種方法，將更方便的完成內存鏡像取證。

一臺被內存鏡像取證的電腦運行的windows系統

一臺取證電腦運行的kali系統

兩臺電腦要能通過網絡通信，并且最好是有線千M以上網絡，因為windows系統的內存鏡像數據，是要通過網絡傳到kali系統的，所以網絡速度至關重要。

在Windows系統上，安裝RFBD，RFBD是跨平臺的nbd-server，通過該服務實現讀取Windows內存數據。

主頁：http://ranfs.com/cn/?RFBD

用管理員權限運行powershell，執行如下命令：

$rfbd_dir="c:rfbd";Invoke-Expression(New-Object Net.WebClient).DownloadString("http://ranfs.com/pub/rfbd/all/get.ps1")

注意： $rfbd_dir="c:rfbd" 中的 c:rfbd為rfbd安裝目錄，如要安裝其它目錄，請更改此路徑。

在沒有powershell系統里，請手動下載安裝包，運行里面的install.bat即可完成安裝。

關于防火墻配置，默認情況下，腳本自動配置了系統防火墻，放行了使用的端口，如果使用了其它防火墻，請手動放行10809端口和6780端口，10809為nbd服務端口，必須放行，6780為web調試和配置端口，根據需要放行。

在Kali系統上，執行如下命令

sudo apt install nbd-client sudo modprobe nbd

好了，基本工作準備完成

執行如下命令

sudo nbd-client -N /dev/pmem -b 4096 192.168.253.1 10809 /dev/nbd0

注意：-b 4096 為扇區字節數，192.168.253.1為RFBD所在系統ip地址。

sudo volatility -f /dev/nbd0 imageinfo

接下來可使用volatility相關功能對/dev/nbd0進行分析，如同對遠端Windows物理內存進行分析一樣，需要注意這是在線分析，Windows內存數據在運行中，會不斷改變。

默認情況，nbd-client掛載的設備為只讀掛載，如何開啟讀和寫支持呢？

1、修改rfbd.ini，配置字段 nbd_readonly=true 為 nbd_readonly=false, 更改配置后需要重啟rfbd服務才會生效。

2、使用web配置nbd.readonly_flag為 false, 更改設置后，不需要重啟rfbd，但需要nbd-client斷開后，重新執行掛載命令，設置方法如下，在kali系統里，使用瀏覽器打開 192.168.253.1:6780，點擊配置如下圖：

雙擊值true 更改為false, 然后鼠標點擊空白處，點擊在操作里出現的保存按鈕。

在Windows系統下，支持如下別名文件

/dev/pmem 對應 DevicePhysicalMemory的別名，實現對物理內存讀寫

/dev/disk[0-9] 對應 .PhysicalDrive[0-9]的別名，實現對物理硬盤的讀寫

同時還支持文件路徑名如c:tmp1.img。使用命令如下：

sudo nbd-client -N c:tmp1.img -b 512 192.168.253.1 10809 /dev/nbd2

注意：請確保網絡正常，及RFBD正常運行。

遇到不能解決的問題，請聯系：tech@ranfs.com, 或加QQ群：599829506。

以上是生活随笔為你收集整理的kali 安装volatility_kali对Windows内存在线取证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。