RootedCON 是西班牙最重要的网络安全活动之一，也是欧洲最重要的之一。以促进技术知识为使命，这个大会是技术和网络安全专业人士在各个领域的热点交流之地。

开始

开始在pcap文件中搜索 恶意软件。使用恶意软件分析中提到的工具。

Volatility

Volatility是主要的开源内存转储分析框架。这个Python工具分析来自外部来源或VMware虚拟机的转储，根据转储的操作系统配置识别数据，如进程和密码。它可以通过插件进行扩展，使其在取证调查中非常灵活。

在这里找到一份速查表

迷你转储崩溃报告

当转储文件很小（可能只有几KB，也许几MB）时，它可能是一个迷你转储崩溃报告，而不是内存转储。

如果您安装了Visual Studio，您可以打开此文件并绑定一些基本信息，如进程名称、架构、异常信息和正在执行的模块：

您还可以加载异常并查看反编译的指令

无论如何，Visual Studio并不是执行深度转储分析的最佳工具。

您应该使用IDA或Radare打开它以深入检查。

​

RootedCON 是西班牙最重要的网络安全活动之一，也是欧洲最重要的之一。以促进技术知识为使命，这个大会是技术和网络安全专业人士在各个领域的热点交流之地。