Memory dump analysis

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

RootedCON 是 西班牙 最相关的网络安全事件，也是欧洲最重要的事件之一。该大会的 使命是促进技术知识，是各个学科技术和网络安全专业人士的热切交流平台。

开始

开始 在 pcap 中搜索 恶意软件。使用 恶意软件分析 中提到的工具。

Volatility 是内存转储分析的主要开源框架。这个 Python 工具分析来自外部源或 VMware 虚拟机的转储，基于转储的操作系统配置文件识别数据，如进程和密码。它可以通过插件扩展，使其在取证调查中非常灵活。

当转储很小（只有几 KB，可能几 MB）时，它可能是小型转储崩溃报告，而不是内存转储。

如果您安装了 Visual Studio，可以打开此文件并绑定一些基本信息，如进程名称、架构、异常信息和正在执行的模块：

您还可以加载异常并查看反编译的指令

无论如何，Visual Studio 不是执行转储深度分析的最佳工具。

您应该使用 IDA 或 Radare 来深入检查它。

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

Last updated 1 month ago