Memory dump analysis

Підтримайте HackTricks

RootedCON є найважливішою подією в сфері кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою просування технічних знань, цей конгрес є гарячою точкою зустрічі для професіоналів у сфері технологій та кібербезпеки в усіх дисциплінах.

Початок

Почніть шукати шкідливе ПЗ всередині pcap. Використовуйте інструменти, згадані в Аналізі шкідливого ПЗ.

Volatility є основним відкритим фреймворком для аналізу дампів пам'яті. Цей інструмент на Python аналізує дампи з зовнішніх джерел або віртуальних машин VMware, ідентифікуючи дані, такі як процеси та паролі на основі профілю ОС дампа. Він розширюється за допомогою плагінів, що робить його дуже універсальним для судово-медичних розслідувань.

Знайдіть тут шпаргалку

Звіт про аварійний дамп

Коли дамп є малим (всього кілька КБ, можливо, кілька МБ), то це, ймовірно, звіт про аварійний дамп, а не дамп пам'яті.

Якщо у вас встановлено Visual Studio, ви можете відкрити цей файл і прив'язати деяку базову інформацію, таку як назва процесу, архітектура, інформація про виключення та модулі, що виконуються:

Ви також можете завантажити виключення та переглянути декомпільовані інструкції

У будь-якому випадку, Visual Studio не є найкращим інструментом для проведення глибокого аналізу дампа.

Вам слід відкрити його за допомогою IDA або Radare для детального огляду.

RootedCON є найважливішою подією в сфері кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою просування технічних знань, цей конгрес є гарячою точкою зустрічі для професіоналів у сфері технологій та кібербезпеки в усіх дисциплінах.

Підтримайте HackTricks

Last updated