моей задачей является анализ дампа памяти. Я нашел местоположение PDF-файла, и я хочу проанализировать его с помощью virustotal. Но я не могу понять, как «загрузить» его из дампа памяти.Открыть PDF с изменчивостью
Я уже пробовал с этой командой:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/
Но в моем DUMPFILE-каталоге есть только .vacb файл, который не является допустимой PDF.
VACB - это «блок управления виртуальными адресами». Тип вывода кажется неправильным. Попробуйте что-то вроде:
$ питон vol.py -f img.vmem файлов дампов --output = PDF --output-файл = bla.pdf --profile = [ваш профиль] -D/
файлов дампов
или проверить шпаргалку: here
Я думаю, что вы, возможно, пропустили командную строку argumenet из вашей команды:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/
Если у вас не получает .dat файл в папке вывода вы можете добавить -u:
-u, --unsafe Релакс ограничения безопасности больше данных
Не могу проверить это с вне доступа к свалке но вы должны иметь возможность переименовать файл .dat, созданный для .pdf.
Так это должно выглядеть примерно так:
python vol.py -f img.vmem dumpfiles -r pdf$ -i --name -D dumpfiles/ -u
Вы можете проверить документацию по командам here
Спасибо за ваш намек. Но если я использую следующую команду python vol.py -f img.vmem dumpfiles --output = pdf --output-file = dumpfile/bla.pdf --profile = [myProfile] -D dumpfiles/это сообщение об ошибке показывает up: Поддерживаемые форматы: ['dot', 'greptext', 'html', 'json', 'sqlite', 'text', 'xlsx'] И без --output = pdf созданный PDF недействителен. Я посмотрю на cheatSheet :) – pichlbaer