如何提取具有波动性的.bat文件

Question

我正在试验volatility2工具。我已经创建了一个windows 7机器的内存转储，在该机器的桌面上有一个批处理脚本文件。我将the解析器命令用作：

volatility -f memdump.mem --profile=Win7SP1x64 mftparser | grep -i "desktop"

其结果是：

-snip-

2023-02-22 01:38:18 UTC+0000 2023-02-22 01:38:18 UTC+0000   2023-02-22 01:38:18 UTC+0000   2023-02-22 01:38:18 UTC+0000   RemoteDesktops
2023-02-22 01:38:18 UTC+0000 2023-02-22 01:38:18 UTC+0000   2023-02-22 01:38:18 UTC+0000   2023-02-22 01:38:18 UTC+0000   Users\Public\Desktop
2023-02-22 01:43:42 UTC+0000 2023-02-22 01:43:42 UTC+0000   2023-02-22 01:43:42 UTC+0000   2023-02-22 01:43:42 UTC+0000   Users\[username]\Desktop
2023-02-22 02:28:40 UTC+0000 2023-02-22 02:28:40 UTC+0000   2023-02-22 02:28:40 UTC+0000   2023-02-22 02:28:40 UTC+0000   Users\[username]\Desktop\memdump.mem
2023-02-21 15:59:20 UTC+0000 2023-02-21 15:59:20 UTC+0000   2023-02-21 15:59:20 UTC+0000   2023-02-21 15:59:20 UTC+0000   Users\[username]\Desktop\WINDOW~1\WINDOW~1.BAT
2023-02-21 15:59:20 UTC+0000 2023-02-21 15:59:20 UTC+0000   2023-02-21 15:59:20 UTC+0000   2023-02-21 15:59:20 UTC+0000   Users\[username]\Desktop\WINDOW~1\Windows11Pro.bat
2023-02-22 01:38:28 UTC+0000 2023-02-22 01:38:28 UTC+0000   2023-02-22 01:38:28 UTC+0000   2023-02-22 01:38:28 UTC+0000   Windows\assembly\Desktop.ini

-snip-

所以我想转储Users用户名\Desktop\WINDOW~1\Windows11Pro.bat文件。我将filescan命令用作：

volatility -f memdump.mem --profile=Win7SP1x64 filescan | grep "Users\[username]\Desktop\WINDOW~1\Windows11Pro.bat"

但我没有得到任何结果。为什么会这样呢？我尝试了其他grep替代方案，但似乎找不到这个批处理文件的地址。

Answer 1

主存( RAM )的转储将只包含有关RAM中的文件的详细信息，比如当前正在运行的文件。

NTFS系统使用MFT来管理二次存储，它可能一直在使用，因此存在于主存中。这解释了为什么您可以看到.bat文件的路径(因为它是MFT持有的数据)。

运行中的程序更可能在内存转储中可见。