江湖秘笈:掌握Volafox 不愁沒有工具對蘋果系統的攻擊進行信息取證與反追蹤啦
關注藍字 看點網路安全
GIF
Hello,親愛的看官們,大家晚上好。又到了每周中間時間了,每當一周的這天時,人心多少都會開始浮動起來。
特別是很多年輕人都期盼這周五趕快過去,這樣周末時就可以開開心心的玩耍了。
要知道,在這炎熱的天氣當中,有一些地方非常適合人放鬆和緩解心情。距離最近的,當屬是家中開著空調,四仰八叉的躺在床上很舒服。
遠一點的,北京郊區有山有水的地方,既可以爬山出一身汗讓自己的身體得到鍛煉同時加速新陳代謝,還能夠藉助河邊的涼爽舒適一下。
最後就是海邊啦,雖然並未到達最適合海邊的時刻,可是這種天氣下海邊絕對是遊玩的最佳去處。
看官們此時千萬不要問2 cats大俠我為何不提出遊泳池哦,那麼多人扎堆在一個小小的池子當中,難免給人一種煮餃子的趕腳,所以堅決不要跟我說什麼組團去游泳池,我是旱鴨紙……
好啦,開過一個小小的玩笑,現在來聊一聊今天的技術內容。
專門攻破蘋果內存鏡像的取證工具
在今天的內容中,2 cats大俠要為看官們分享一款有關蘋果品牌設備的內存專用工具,名字叫做volafox。
Volafox介紹
Volafox是一款使用Python語言編寫,並內置overlay data數據,可直接分析蘋果10.6-10.11版本各種內存鏡像文件的分析取證類工具。
Volafox怎麼玩
Volafox共有28個子命令,可被應對各種功能需要,如獲取掛載文件系統、任務列表、系統調用表、EFI系統表、主機名、網路Socket列表、進程列表等。同時該工具提供幾種子命令,用於檢查內存中是否存在惡意程序。
1
命令:volafox
2
主要參數:
-o CMD: 列印CMD(下面)的內核信息
-p PID:List open files for PID(where CMD is 「lsof」)
-v: 列印所有的文件,包括支持的類型(如「lsof命令」)
命令格式:-x PID/KID/TASKID : Dump process/task/kernel extension address space for PID/KID/Task ID (where CMD is "ps"/"kextstat"/"tasks")
3
COMMANDS system profiler:內核版本、CPU和內存規範,Boot/Sleep/Wakeup time
mount : 安裝存取數據
kextstat : kext(內核擴展)上市
ps : 上市過程
tasks: 任務列表(匹配進程列表)
systab : 系統調用表(鉤檢測)
mtt : Mach trap table ((掛鉤檢測))
netstat : 網路套接字列表(哈希表)
lsof : 打開的文件列表的過程(研究,osxmem@gmail.com)
pestate : 顯示啟動信息(實驗)
efiinfo : EFI系統表,EFI運行時服務(實驗)
keychaindump : 場主密鑰解密鑰匙扣(候選人的獅子,ML)
好啦,講述了如此眾多命令之後,又展示了相關工具的命令格式,那麼具體操作體驗還請看官們自行嘗試吧。2 cats大俠我還要處理其他工作,先寫到這裡了哦。
2cats 寄語
老規矩不變,
如果有任何問題依舊可以發給e品小頑童。
小頑童的郵箱是:
xiaowantong@epinjianghu.com。
也可以在微信公眾號的下方留言,我們會及時整理反饋的。
期待各位的來信交流!
另外,大家可以掃描下面的二維碼,加我2cats的個人微信哈!
e品江湖
不失初心 不忘初衷
長按掃碼 加關注!
TAG:e品江湖網路攻防 |