hacktricks/forensics/basic-forensic-methodology/memory-dump-analysis/README.md

3.3 KiB

Analiza memorijskih dump-ova

{% hint style="success" %} Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks
{% endhint %}

RootedCON je najrelevantnija sajber bezbednosna manifestacija u Španiji i jedna od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je vrelo mesto okupljanja za profesionalce u tehnologiji i sajber bezbednosti u svakoj disciplini.

{% embed url="https://www.rootedcon.com/" %}

Početak

Počnite pretragu za malverom unutar pcap-a. Koristite alate navedene u Analiza malvera.

Volatility

Volatility je glavni open-source okvir za analizu memorijskih dump-ova. Ovaj Python alat analizira dump-ove iz spoljašnjih izvora ili VMware VM-ova, identifikujući podatke kao što su procesi i lozinke na osnovu OS profila dump-a. Proširiv je sa plugin-ovima, što ga čini veoma svestranim za forenzičke istrage.

Ovde pronađite cheatsheet

Izveštaj o mini dump-u

Kada je dump mali (samo nekoliko KB, možda nekoliko MB), onda je verovatno reč o izveštaju o mini dump-u, a ne o memorijskom dump-u.

Ako imate instaliran Visual Studio, možete otvoriti ovu datoteku i povezati neke osnovne informacije kao što su ime procesa, arhitektura, informacije o izuzecima i moduli koji se izvršavaju:

Takođe možete učitati izuzetak i videti dekompilovane instrukcije

U svakom slučaju, Visual Studio nije najbolji alat za izvođenje analize dubine dump-a.

Trebalo bi da ga otvorite koristeći IDA ili Radare za detaljnu inspekciju.