本文主要是介绍Linux内存分析--.aff4文件初次接触,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
文中以下载好的.aff4文件为例。
首先,解压下载好的.aff4文件:
unzip -l images/Windows_Server-2003-R2_SP2-English-32Bit-Base-2015.02.11.aff4
得到如下图所示的文件内容:
其中,aff4://4928ef44-6579-496c-a53e-2ad34d98b7ed为.aaf4文件全局唯一名称表示,它通常称作AFF4 URN,是表示.aff4文件的唯一标识。
然后,查看解压后文件中的元数据内容:
unzip -p images/Windows_Server-2003-R2_SP2-English-32Bit-Base-2015.02.11.aff4 information.turtle
得到元数据表示如下:
“information.turtle”是.aff4卷的一个存档成员,保存着相关的元数据。此外,在结果中出现的“PhysicialMemory”是机器物理内存的内存流,“c:/pagefile.sys”是与机器页面文件相对应的流。PhysicialMemorystream是稀疏的,因此是aff4:map类型。Data由PhysicalMemory/data支持。Rekall可以自动使用image和所有的componets,pagefiles也可以在没有用户干预的情况下自动使用。
这篇关于Linux内存分析--.aff4文件初次接触的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
