目录
Breakthrough
mspaint
画图工具,一般会将其用 valatility dump 出来,得到 raw 文件
之后用 gimp 选择 data(原始数据)类型将其打开,在预览界面调整好宽度和高度之后
再打开查看里面有什么隐藏的信息
Tools
Arsenal Image Mounter
下载链接:https://arsenalrecon.com/downloads/
用途
Arsenal Image Mounter 包含了一个虚拟 SCSI 适配器(通过独特的 Storport miniport 驱动程序)
使用户可以从 Windows 中对挂载的镜像启动虚拟机(然后绕过Windows身份验证)、管理 BitLocker-受保护的卷、安装/访问 “卷影副本”、“磁盘管理器” 等功能
gimp
gimp 用于调整宽度以及高度得到 mspaint 中的图片
Plugins
editbox
网址:https://github.com/bridgeythegeek/editbox
使用代码
python vol.py --plugins=/folder/to/editbox -f memory.dmp --profile=Win7SP1x64 editbox用途
可以直观的看到镜像内访问过的网址