Memory dump analysis
RootedCON je najrelevantnija sajber bezbednosna manifestacija u Španiji i jedna od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je vrelo mesto okupljanja za profesionalce u tehnologiji i sajber bezbednosti u svakoj disciplini.
Početak
Počnite pretragu za malverom unutar pcap-a. Koristite alate navedene u Analiza malvera.
Volatility je glavni open-source okvir za analizu memorijskih dumpova. Ovaj Python alat analizira dumpove iz spoljašnjih izvora ili VMware VM-ova, identifikujući podatke kao što su procesi i lozinke na osnovu OS profila dumpa. Proširiv je sa plugin-ovima, što ga čini veoma svestranim za forenzičke istrage.
Izveštaj o mini dumpu
Kada je dump mali (samo nekoliko KB, možda nekoliko MB) onda je verovatno reč o izveštaju o mini dumpu, a ne o memorijskom dumpu.
Ako imate instaliran Visual Studio, možete otvoriti ovu datoteku i povezati neke osnovne informacije kao što su naziv procesa, arhitektura, informacije o izuzecima i moduli koji se izvršavaju:
Takođe možete učitati izuzetak i videti dekompilovane instrukcije
U svakom slučaju, Visual Studio nije najbolji alat za izvođenje analize dubine dumpa.
Trebalo bi da ga otvorite koristeći IDA ili Radare za detaljnu inspekciju.
RootedCON je najrelevantnija sajber bezbednosna manifestacija u Španiji i jedna od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je vrelo mesto okupljanja za profesionalce u tehnologiji i sajber bezbednosti u svakoj disciplini.
Last updated
