1、工具

内存取证

内存镜像虚拟地址

2023盘古石初赛******根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?******

盘古石2023初赛

*嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?*

查找命令行历史 ——->查找用户名(uname ,hostname,hostnametcl)——–>选择计算命令行会话记录

在内存取证中,我们确实会优先考虑会话记录而非传统的命令行历史记录,原因如下:

  1. 实时性和动态性 :内存中的数据是实时的,反映了系统当前的状态和最近的操作,而历史记录可能已经保存到磁盘,可能被篡改或删除。
  2. 未保存的命令 :嫌疑人可能清除了历史记录文件(如~/.bash_history),但内存中的会话记录可能还未被覆盖或清除,从而保留了这些命令的痕迹。
  3. 更全面的信息 :内存不仅包含命令本身,还可能包含相关的过程信息、环境变量和系统调用,这些信息有助于更全面地了解嫌疑人的操作。image-20250409224512699

image-20250409224532134

一共35次