hacktricks/forensics/basic-forensic-methodology/memory-dump-analysis

メモリーダンプ解析

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学ぶ！

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝してみたいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを発見し、独占的なNFTsのコレクションをご覧ください
• 公式PEASS＆HackTricksスウェグを手に入れましょう
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで私をフォローする🐦@carlospolopm。
• **hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出して、あなたのハッキングトリックを共有してください。

RootedCONはスペインで最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパでも最も重要なイベントの1つです。技術知識の促進を使命とするこの会議は、あらゆる分野のテクノロジーとサイバーセキュリティ専門家にとっての熱い出会いの場です。

{% embed url="https://www.rootedcon.com/" %}

開始

pcap内でマルウェアを検索を開始します。マルウェア分析で言及されているツールを使用します。

Volatility

Volatilityはメモリーダンプ解析のための主要なオープンソースフレームワークです。このPythonツールは、外部ソースまたはVMware VMからのダンプを分析し、ダンプのOSプロファイルに基づいてプロセスやパスワードなどのデータを識別します。プラグインで拡張可能であり、法医学調査に非常に適しています。

こちらでチートシートを見つける

ミニダンプクラッシュレポート

ダンプが小さい場合（数KB、おそらく数MB）、それはおそらくミニダンプクラッシュレポートであり、メモリーダンプではありません。

Visual Studioがインストールされている場合、このファイルを開いてプロセス名、アーキテクチャ、例外情報、実行されているモジュールなどの基本情報をバインドできます。

例外をロードして、逆コンパイルされた命令を表示することもできます。

とにかく、Visual Studioはダンプの深い解析を行うのに最適なツールではありません。

IDAまたはRadareを使用して、ダンプを詳細に検査します。