KXKX

——本文总结了近期学习内存取证的内容，如有错误和遗漏，欢迎各位师傅指正补充。 内存取证，就是对计算机运行时的内存数据进行分析和还原，从中寻找系统活动痕迹和敏感信息的过程。就像给正在运行中的电脑拍了一张实况照片，我们来分析这张照片中当时发生了什么。 我们通过分析内存的镜像文件，尽力的去还原系统在那个时刻的运行状态。 常见文件类型在进行内存取证时，常见以下文件类型： RAW原始内存镜像，按字节直接导出的数据文件。 VMEM虚拟机生成的内存文件，常见于 VMware 场景。 DMP内存转储文件，主要包含系统崩溃或调试时的内存内容，用于系统故障分析、调试和取证分析。 IMG磁盘映像文件，逐字节复制磁盘内容，包括分区、文件系统等，应用于磁盘克隆、备份等场景。 ISO光盘映像，逐字节复制光盘内容，包括引导信息等，最常用的就是操作系统安装或者光盘备份。 VMDK虚拟机磁盘，包含虚拟机磁盘的完整内容，VMware环境取证常见。 其中,.raw .vmem和.dmp文件里面保存的是内存内容，可以直接使用volatility工具进行取证分析，.img,.iso,.vmdk等文件保存的是磁盘或光盘数...