所以我正在参加计算机取证课程(也希望进入计算机取证,所以练习会有所帮助)。在我的课堂上,我们必须做一个研究项目。我在 Kali 上专门使用 RAM Forensics 和 Web Browser Forensics 来做这件事。我正在尝试使用 Volatility 查看我的 RAM,但我需要先读取我的 RAM 图像。有谁知道在 OS X 上成像 RAM 的方法?谢谢您的帮助!
问问题
206 次
2 回答
0
我不确切知道 FTK Imager 是否可以获取 osx ram 映像,但您可以尝试一下。它可以从 Windows 操作系统获取内存的图像。在我看来,它还可以从 osx 系统中获取 ram 的图像。
于 2016-05-10T13:01:24.723 回答
0
OS X 曾经有一个 /dev/mem 设备,您可以通过读取来读取物理内存,但他们不久前将其删除了。Amit Singh 的Mac OS X Internals书中有一节介绍了实现内核扩展以重新添加该接口。有相同想法的各种开源实现,但我没有直接的经验。
于 2016-03-16T00:03:30.183 回答