Coder Social home page Coder Social logo

lovelymem's Introduction

lovelymem

LovelyMem

✨ 基于MemprocfsVolatility的可视化内存取证工具 ✨

QQGroup ctfnav aifadian python

这是什么

一款基于memprocfs的快捷内存取证工具

区别于VolatilityPro:https://github.com/Tokeii0/VolatilityPro

有着更快的取证速度以及更便捷的功能

功能展示

https://www.bilibili.com/video/BV1TK411b78J/ https://www.bilibili.com/video/BV1Hb4y1G77m/

适合什么题

  • 没有套娃的取证题目

使用方法

因为不自带memprocfs,请先到memprocfs作者github页面下载相对应的版本

https://github.com/ufrisk/MemProcFS/releases/tag/v5.8

放在Tools/memprocfs目录下

挂载文件系统需要安装Dokany文件系统库

请下载并安装最新版本的 Dokany 版本 2:https://github.com/dokan-dev/dokany/releases/latest

安装gimp https://www.gimp.org/download/

目录下运行命令

python main.py

你都更新了点啥

v0.5 2024.5.29

  • 从下个版本开始不再开源,可能会进行爱发电对接,具体内容再看
  • 更新版本至0.5
  • 修改按钮位置,现在开始更加简洁
  • 增加分页,vol与memprocfs功能分开
  • 删除以前的假的profile获取方式现在是列表
  • 新增启动logo窗口
  • 从这个版本开始删除加载镜像,现在手动选择镜像或者拖入镜像后会自动加载
  • tips内容独立于main.py

v0.4a 2024.4.15

  • 新增了NTFS文件时间线
  • 修改几个按钮位置

v0.4 2024.4.10

  • 新增联动volpro进行执行
  • 在快速查看文本的新窗口中新增了搜索框与搜索按钮
  • editbox、clipboard、netstat默认优先从volpro中取值,若文件大小空白或文件不存在则会重新进行执行命令
  • 基本信息中能显示的内容扩大至5000
  • 新增自定义命令(执行,可以对一些列出的命令进行执行具体参考软件中按钮tips)
  • 对大部分控件添加了tips内容方便快速了解使用方法
  • 通过判断文件镜像注册表的内容来自动判断vol2所需的profile
  • 新增profile下拉框,如果是windows7X64以上的版本一般来说是用不上的但是不能没有,列表添加可以在config.py中添加
  • 右键选择打开文件现在会默认选择到你所选的文件上
  • 优化tips内容
  • 版本号更新至v0.4

v0.3 2024.4.9

  • 修改加载卸载布局,现在都归入文件菜单中
  • 基本信息中新增对系统密码的展示并通过新窗口打印,而不是通过cmd打印
  • 修改vol2常用命令按钮名称,删除了vol2字符串
  • 新增netscan命令,在cmd展出,并支持指定字符串搜索
  • 对按钮进行了简单的tips展示
  • 在对表格项目进行操作时新增右键菜单删除行删除列
  • 内部的tableWidget的宽高现在会跟随者窗口宽高变化
  • 新增了一个开关用于在自适应以及自定义列宽中切换
  • 新增一个加载全部文件的按钮
  • title新增github项目地址
  • 对右侧的按钮进行layout整理
  • 版本号更新至v0.3
  • 采用全新logo
  • 退出时新增收款码
  • 新增一个下拉框,准备在里面放vol2的profile,明天再说

v0.2d 2024.1.4

  • 修了个bug

v0.2c 2024.1.2

  • 重整按钮位置
  • 修改了几个按钮的位置,现在搜索都在搜索框下方
  • 新增了vol2editbox,volclipboard
  • 新增查看services,注册表timeline
  • 最初写的netstat重写方法
  • 修改缩小了绘制表格打印行高

v0.2b 2024.1.1

  • 新增快速查看文本内容
  • 新增快速查看图片
  • 修改没有找到内容时控制台报错
  • 大改搜索文件规则,现在显示的为实际路径
  • ntfs搜索下已支持快速打开全部目录

v0.2a 2023.12.30

  • 新增vol2文件导出
  • 修改vol2联合搜索与vol2文件导出导出时按钮变为"搜索中..."以防多次点击
  • 修改了宽高,列表内文字大小

v0.2 2023.12.27

  • 新建右键菜单,修改右键逻辑,现在大伙可以按右键选择直接跳转到文件所在目录(前提是这是一个文件路径)
  • 右键新增功能,复制内容并发送至搜索框
  • 因为有部分过小文件无法搜索到,新增vol2联合搜索,打印至控制台,dumpfile放下个版本写
  • 新增ntfs搜索,基于timeline_ntfs文件,可以快速定位某时间什么目录生成什么文件
  • 新增卸载内存镜像
  • 输入框支持输入pid并点击procdump2gimp可直接用gimp载入原始数据
  • 支持拖拽镜像文件至窗口内
  • 版本号更改为v0.2
  • config.py文件用于存放第三方工具gimp以及vol2所在目录仅供参考

v0.1 2023.12.26

  • 新建项目

BUG

  • 部分windows7内存镜像在解析netstat -v时无法显示对端(DST)ip和端口,解决方案是在界面内加入了vol2netscan进行搜索

其他

远离内卷,还CTF圈一个朗朗乾坤

愿望是取证像喝水一样简单

lovelymem's People

Contributors

tokeii0 avatar

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.