Memory dump analysis
RootedCON est l'événement le plus pertinent en matière de cybersécurité en Espagne et l'un des plus importants en Europe. Avec pour mission de promouvoir les connaissances techniques, ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
Démarrer
Commencez à rechercher les logiciels malveillants dans le pcap. Utilisez les outils mentionnés dans Analyse de logiciels malveillants.
Volatility est le principal framework open source pour l'analyse des dumps mémoire. Cet outil Python analyse les dumps provenant de sources externes ou de machines virtuelles VMware, identifiant des données telles que des processus et des mots de passe en fonction du profil OS du dump. Il est extensible avec des plugins, le rendant très polyvalent pour les enquêtes forensiques.
Trouvez ici une fiche de triche
Rapport de crash de mini dump
Lorsque le dump est petit (juste quelques Ko, peut-être quelques Mo), il s'agit probablement d'un rapport de crash de mini dump et non d'un dump mémoire.
Si vous avez Visual Studio installé, vous pouvez ouvrir ce fichier et lier quelques informations de base comme le nom du processus, l'architecture, les informations sur l'exception et les modules en cours d'exécution :
Vous pouvez également charger l'exception et voir les instructions décompilées
Quoi qu'il en soit, Visual Studio n'est pas le meilleur outil pour effectuer une analyse approfondie du dump.
Vous devriez l'ouvrir en utilisant IDA ou Radare pour l'inspecter en profondeur.
RootedCON est l'événement le plus pertinent en matière de cybersécurité en Espagne et l'un des plus importants en Europe. Avec pour mission de promouvoir les connaissances techniques, ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
Last updated