最新消息:

调查取证之图像还原

网络取证 Eternal 10925浏览 0评论

场景:将画图板进程 dump 下来的内存数据,以图片形式还原。

利用工具:

procdump

gimp

首先,我们使用画图打开一张图片,并使用 tasklist 查看进程情况:

20161116080619

接着我们使用 procdump 来 dump 下 mspaint.exe 进程数据:

procdump64.exe -ma mspaint.exe mspaint.dmp

20161116080808

使用 CMD dir 命令查看是否 dump 成功并保存为 dmp 文件:

20161116080957

将 dmp 文件拷贝至 kali 并下载安装图像处理工具 gimp:

apt-get install gimp

20161116082028

mspaint.dmp 修改为 mspaint.data 格式,使 gimp 支持:

20161116083232

打开 gimp 选择文件>打开:

20161116083417

在右下角全部图像处选择 .data 格式,并打开:

20161116083557

通过对 RGB 的调整,我们可以将数据还原为图像:

20161116091821

转载请注明:即刻安全 » 调查取证之图像还原

您必须 登录 才能发表评论!

网友最新评论 (3)



合作伙伴