2

テキストファイル内の情報を確認した後、それを使用してコマンドに挿入します。

例えば:

このテキスト ファイル (hello.txt) があり、その中の情報は次のとおりです。

Determining profile based on KDBG search...

      Suggested Profile(s) : Win7SP0x86, Win7SP1x86
                 AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                 AS Layer2 : FileAddressSpace (E:\KOHMOHOJOJO-PC-20140714-152414.raw)
                  PAE type : PAE
                       DTB : 0x185000L
                      KDBG : 0x82734be8L
      Number of Processors : 1
 Image Type (Service Pack) : 0
            KPCR for CPU 0 : 0x82735c00L
         KUSER_SHARED_DATA : 0xffdf0000L
       Image date and time : 2014-07-14 15:24:17 UTC+0000
 Image local date and time : 2014-07-14 23:24:17 +0800

したがって、ボラティリティを使用して分析を続けるには、ユーザーはそのプロファイルを特定する必要があります。

プロファイルの候補が 2 つありますが、下部の「Image Type (Service Pack) : 0」には、プロファイルがWin7SP0x86ではなく であることが示されていますWin7SP1x86

この 2 つの重要な詳細を使用して正しいプロファイルを選択し、コマンドに挿入するにはどうすればよいですか

vol231.exe -f E:\KOHMOHOJOJO-PC-20140714-152414.raw --profile=Win7SP0x86 pslist > hello2.txt

誰でも私を助けることができますか?前もって感謝します!

編集:

suggested profile固定されていません。.raw ファイルによっては、推奨されるプロファイルが 2 つ以上ある場合があります。と をどのように一致Image Type (Service Pack) : 0させsuggested profileますか?

例: 読み取ると、2 つ以上の提案されたプロファイルを変数に「保存」し、提案されたプロファイルに 0、1、または 2 などがあるかどうかを確認します。

うまくいけば、これはよりよく説明します。または、どの適切な方法でも良いです。

4

1 に答える 1

2 
@echo off

for /f "tokens=5 delims=: " %%a in ('type hello.txt^| find /i "Image Type (Service Pack)"') do (
    set "SP=%%a"
)

for /f "tokens=2 delims=:" %%p in ('type hello.txt^| find /i "Suggested Profile(s)"') do (
    set "profiles=%%p"
)

set /a tkn=sp+1

for /f "tokens=%tkn% delims=, "  %%s in ("%profiles%") do (
    set "profile=%%s"
)



::vol231.exe -f E:\KOHMOHOJOJO-PC-20140714-152414.raw --profile=%profile% pslist > hello2.txt
于 2014-07-17T08:34:57.867 に答える