我的任务是分析内存转储。我找到了一个 PDF 文件的位置,我想用 virustotal 来分析它。但我不知道如何从内存转储中“下载”它。
我已经用这个命令试过了:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/
但是在我的转储文件目录中只有一个 .vacb 文件,它不是有效的 pdf。
我的任务是分析内存转储。我找到了一个 PDF 文件的位置,我想用 virustotal 来分析它。但我不知道如何从内存转储中“下载”它。
我已经用这个命令试过了:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/
但是在我的转储文件目录中只有一个 .vacb 文件,它不是有效的 pdf。
我认为您可能错过了命令中的命令行参数:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/
如果您没有.dat
在输出文件夹中获得文件,您可以添加-u
:
-u, --unsafe 放宽更多数据的安全约束
在无法访问转储的情况下无法对此进行测试,但您应该能够将.dat
创建的文件重命名为.pdf
.
所以它应该看起来像这样:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/ -u
您可以在此处查看有关命令的文档
VACB 是“虚拟地址控制块”。您的输出类型似乎是错误的。尝试类似:
$ python vol.py -f img.vmem dumpfiles --output=pdf --output-file=bla.pdf --profile=[你的个人资料] -D dumpfiles/
或查看备忘单:这里