admin管理员组文章数量:1130349
#本文仅供交流学习使用,切勿用于非法用途#
目录
1. 前言
2. 准备工作
3. 内存镜像解析
4. 踩过的坑和感悟
5. 技术要点总结
前言
某年月日,我司在项目中遇到了一个不太常见的需求:根据内存镜像解析电脑中的某即时通讯软件(即“某信”)的聊天信息。在与供应商进行沟通以后我们了解到,市面上国内外几款比较流行的取证软件虽然支持针对某信Windows端的解析,但是大多还是需要用户扫描二维码进行登录。对内存的解析只有一家产品支持,实际试用后也遗憾地失败了。事后分析可能是与操作系统及某信软件的版本有关。
然后我们又在网上进行了一系列的搜索。虽然确实查到许多资料描述如何解析某信数据库,但是其中对内存镜像进行解析的内容几乎为零。我们只能摸着前人的石头过河。所幸走了不少弯路以后还算有了一个比较满意的结果,这才有了这篇小文。
*对于Volatility内存分析工具有一定认识的朋友可以直接查看结尾的技术总结。
准备工作
某信登录后,使用FTK Imager制作笔记本电脑的内存镜像。
1. 登录某信
2.使用FTK Imager制作内存镜像
在这里有几个选项,是否需要保存pagefile(“Include pagefile”)以及是否需要制作AD1格式的镜像(“Create AD1 file”)。经过测试在解析密钥时并不需要这两个功能,所以为了节约时间我们这里就不用勾选了,毕竟pagefile的文件大小还是很惊人的。
这一步大概花费5到10分钟,根据内存的大小不同。
3. 导出待解密的数据库文件
拿到内存镜像后不要就觉得万事大吉了。密钥密钥光有钥匙没有门我们不是一顿白忙活?
请记得制作笔记本电脑镜像并从中导出某信数据库文件。具体步骤这里就略过了。
某信数据库的默认地址为“C:\Users[Windows User Name]\Documents
#本文仅供交流学习使用,切勿用于非法用途#
目录
1. 前言
2. 准备工作
3. 内存镜像解析
4. 踩过的坑和感悟
5. 技术要点总结
前言
某年月日,我司在项目中遇到了一个不太常见的需求:根据内存镜像解析电脑中的某即时通讯软件(即“某信”)的聊天信息。在与供应商进行沟通以后我们了解到,市面上国内外几款比较流行的取证软件虽然支持针对某信Windows端的解析,但是大多还是需要用户扫描二维码进行登录。对内存的解析只有一家产品支持,实际试用后也遗憾地失败了。事后分析可能是与操作系统及某信软件的版本有关。
然后我们又在网上进行了一系列的搜索。虽然确实查到许多资料描述如何解析某信数据库,但是其中对内存镜像进行解析的内容几乎为零。我们只能摸着前人的石头过河。所幸走了不少弯路以后还算有了一个比较满意的结果,这才有了这篇小文。
*对于Volatility内存分析工具有一定认识的朋友可以直接查看结尾的技术总结。
准备工作
某信登录后,使用FTK Imager制作笔记本电脑的内存镜像。
1. 登录某信
2.使用FTK Imager制作内存镜像
在这里有几个选项,是否需要保存pagefile(“Include pagefile”)以及是否需要制作AD1格式的镜像(“Create AD1 file”)。经过测试在解析密钥时并不需要这两个功能,所以为了节约时间我们这里就不用勾选了,毕竟pagefile的文件大小还是很惊人的。
这一步大概花费5到10分钟,根据内存的大小不同。
3. 导出待解密的数据库文件
拿到内存镜像后不要就觉得万事大吉了。密钥密钥光有钥匙没有门我们不是一顿白忙活?
请记得制作笔记本电脑镜像并从中导出某信数据库文件。具体步骤这里就略过了。
某信数据库的默认地址为“C:\Users[Windows User Name]\Documents
版权声明:本文标题:Volatility内存分析工具 - 某即时通讯软件Windows端数据库密钥的分析 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://it.en369.cn/jiaocheng/1754873425a2737628.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论