我的任务是分析内存转储。我找到了PDF文件的位置,我想用virustotal分析它。但我无法弄清楚如何从内存转储中“下载”它。
我已经用这个命令试过了:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/
但是在我的dumpfile-directory中只有一个.vacb文件,它不是一个有效的pdf文件。
答案 0 :(得分:0)
我想您可能已经错过了命令行中的命令行:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/
如果您的输出文件夹中没有.dat个文件,可以添加-u:
-u, - unsafe放宽更多数据的安全约束
无法通过对转储的访问权限对此进行测试,但您应该能够将创建的.dat文件重命名为.pdf。
所以看起来应该是这样的:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/ -u
您可以查看有关命令here
的文档答案 1 :(得分:-1)
VACB是“虚拟地址控制块”。你的输出类型似乎是错误的。 尝试类似:
$ python vol.py -f img.vmem dumpfiles --output = pdf --output-file = bla.pdf --profile = [your profile] -D dumpfiles /
或查看备忘单:here