hacktricks/forensics/basic-forensic-methodology/memory-dump-analysis/README.md

5.7 KiB
Raw Permalink Blame History

メモリダンプ分析

{% hint style="success" %} AWSハッキングを学び、実践するHackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践するHackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする
{% endhint %}

RootedCONは、スペインで最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパで最も重要なイベントの一つです。技術知識の促進を使命とし、この会議はあらゆる分野の技術およびサイバーセキュリティ専門家の熱い交流の場です。

{% embed url="https://www.rootedcon.com/" %}

開始

pcap内でマルウェア検索し始めます。 マルウェア分析で言及されているツールを使用してください。

Volatility

Volatilityはメモリダンプ分析のための主要なオープンソースフレームワークです。このPythonツールは、外部ソースまたはVMware VMからのダンプを分析し、ダンプのOSプロファイルに基づいてプロセスやパスワードなどのデータを特定します。プラグインで拡張可能であり、法医学的調査に非常に柔軟です。

ここにチートシートがあります

ミニダンプクラッシュレポート

ダンプが小さい場合数KB、場合によっては数MBこれはおそらくミニダンプクラッシュレポートであり、メモリダンプではありません。

Visual Studioがインストールされている場合、このファイルを開いてプロセス名、アーキテクチャ、例外情報、実行中のモジュールなどの基本情報をバインドできます

例外をロードして、デコンパイルされた命令を見ることもできます

いずれにせよ、Visual Studioはダンプの深さの分析を行うための最良のツールではありません。

IDAまたはRadareを使用して深く検査するために開くべきです。

RootedCONは、スペインで最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパで最も重要なイベントの一つです。技術知識の促進を使命とし、この会議はあらゆる分野の技術およびサイバーセキュリティ専門家の熱い交流の場です。

{% embed url="https://www.rootedcon.com/" %}

{% hint style="success" %} AWSハッキングを学び、実践するHackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践するHackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする
{% endhint %}