Memory dump analysis
RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i bezbednosnih stručnjaka u svakoj disciplini.
Početak
Počnite tražiti zlonamerne programe unutar pcap datoteke. Koristite alate navedene u Analizi zlonamernih programa.
Volatility je glavni open-source okvir za analizu memorije. Ovaj Python alat analizira dump-ove sa spoljnih izvora ili VMware VM-ova, identifikujući podatke poput procesa i lozinki na osnovu profila OS dump-a. Proširiv je pomoću dodataka, što ga čini veoma fleksibilnim za forenzičke istrage.
Izveštaj o padu mini dump-a
Kada je dump mali (samo nekoliko KB, možda nekoliko MB) tada je verovatno izveštaj o padu mini dump-a, a ne dump memorije.
Ako imate instaliran Visual Studio, možete otvoriti ovu datoteku i dobiti osnovne informacije poput imena procesa, arhitekture, informacija o izuzecima i izvršenih modula:
Takođe možete učitati izuzetak i videti dekompilirane instrukcije
U svakom slučaju, Visual Studio nije najbolji alat za obavljanje analize dubine dump-a.
Trebalo bi ga otvoriti koristeći IDA ili Radare kako biste ga detaljno pregledali.
RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i bezbednosnih stručnjaka u svakoj disciplini.
Last updated