Memory dump analysis
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
RootedCON 是 西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会的 使命是促进技术知识,是各个学科技术和网络安全专业人士的热烈交流平台。
开始 在 pcap 中搜索 恶意软件。使用 恶意软件分析 中提到的 工具。
Volatility 是内存转储分析的主要开源框架。这个 Python 工具分析来自外部源或 VMware 虚拟机的转储,基于转储的操作系统配置文件识别数据,如进程和密码。它可以通过插件扩展,使其在取证调查中非常灵活。
当转储很小(只有几 KB,可能几 MB)时,它可能是小型转储崩溃报告,而不是内存转储。
如果您安装了 Visual Studio,可以打开此文件并绑定一些基本信息,如进程名称、架构、异常信息和正在执行的模块:
您还可以加载异常并查看反编译的指令
无论如何,Visual Studio 不是执行转储深度分析的最佳工具。
您应该使用 IDA 或 Radare 打开它以进行 深入 检查。
RootedCON 是 西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会的 使命是促进技术知识,是各个学科技术和网络安全专业人士的热烈交流平台。
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)