内存镜像获取工具推荐

Windows系统:

Overview

moonsols,官方网站:http://www.moonsols.com/,有免费版和收费版,支持获取内存镜像,文件转换等功能,目前支持到Windows 10。

moonsols可以处理休眠文件(Hiberfil.sys),crashdump文件和raw memory dump文件,crashdump可以被winDBG加载进行分析,所以最终要转化为crashdump文件。

1、获取镜像,运行DumpIt.exe。获取到的是crashdump文件。

moonsols

2、拿到raw memory dump文件,运行Bin2Dmp.exe转化为crashdump文件。

bin2dmp

例如虚拟机的vmem(vmsn)文件为raw memory dump文件需要转换,详见 利用Mimikatz提取虚拟机内存中的密码 。

3、Hiberfil.sys 转换为crashdump文件。

运行Hibr2Dmp.exe或者Hibr2Bin.exe。

PS:FTKimager获取的是raw memory dump文件。

 

MAX OSX系统

OSXPMem,项目地址:https://github.com/google/rekall/ ,官网 http://www.rekall-forensic.com/

rekall在三种操作系统下均有获取镜像的Pmem程序,但win和linux下兼容性不行,OSXPMem很棒,支持到最新的10.10.x。

屏幕快照 2016-01-19 下午2.08.54

运行如下命令:

 

sudo chown -R root:wheel pmem.kext

sudo chown chmod -R 755 pmem.kext

sudo kextload -v pmem.kext

./osxpmem -f raw mem.bin

或者直接

sudo bash

kextload pmem.kext

./osxpmem -f raw mem.bin

 

Linux系统:

LiME:https://github.com/504ensicslabs/lime (获取镜像)

lmg-master:https://github.com/halpomeranz/lmg/ (配合LiME获取镜像,简化操作)

将lmg-master内文件放入LiME的src文件夹,运行sudo ./lmg 搞定。

 

后续的内存分析可以使用专门的取证分析软件或者Volatility等开源软件进行分析。

注意:有些分析工具支持的是bin格式的,也就是raw memory dump。

 

参考资料:http://www.forensicswiki.org/wiki/Tools%3aMemory_Imaging#Linux