xmount掛載e01格式磁盤文件
xmount --in ewf --out vdi --cache ./Disk.cache ./PLEXTOR\ PX-128M5Pro.e01 ./mnt/
輸出的vdi格式文件可以通過virtualbox 還原
- --out vdi 為輸出鏡像格式
- ./Disk.cache ./****.e01 為檢材文件格式,有關更多E01格式可參考
- ./mnt 為目標掛在卷,輸出的vdi格式鏡像將會被掛載到此目錄下
bulk_extractor內存取證
bulk_extractor -o ./out DESKTOP-D7AP30M-20200605-082800.raw
獲取url訪問歷史、電話號碼、email等信息並輸出到./out目錄下
有關bulk_extractor詳細用法可參考
volatility 內存取證
volatility文檔command
volatility -f DESKTOP-D7AP30M-20200605-082800.raw imageinfo #獲取鏡像信息 volatility -f DESKTOP-D7AP30M-20200605-082800.raw --profile=Win10x64_17134 pslist #列出進程 volatility -f DESKTOP-D7AP30M-20200605-082800.raw --profile=Win10x64_14393 truecryptsummary #列出加密摘要
url_decode
python有url轉中文字符的庫
# coding:utf-8 import urllib.parse with open('url_keyword.txt') as f: result = f.read() print(urllib.parse.unquote(result))