mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-25 14:10:41 +00:00
.. | ||
README.md |
内存转储分析
☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?想要在HackTricks中看到你的公司广告吗?或者想要获得PEASS的最新版本或下载HackTricks的PDF吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组,或者关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
RootedCON是西班牙最重要的网络安全活动之一,也是欧洲最重要的网络安全活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士的热点交流平台。
{% embed url="https://www.rootedcon.com/" %}
开始
开始在pcap文件中搜索恶意软件。使用恶意软件分析中提到的工具。
Volatility
用于内存转储分析的首选开源框架是Volatility。Volatility是一个用于解析使用外部工具(或通过暂停虚拟机收集的VMware内存映像)收集的内存转储的Python脚本。因此,通过提供内存转储文件和相关的“配置文件”(收集转储的操作系统),Volatility可以开始识别数据中的结构:运行中的进程、密码等。它还可以使用插件来提取各种类型的工件。
来源:https://trailofbits.github.io/ctf/forensics/
迷你转储崩溃报告
当转储文件很小(只有几KB,也许几MB)时,它可能是一个迷你转储崩溃报告,而不是内存转储。
如果你安装了Visual Studio,你可以打开这个文件并绑定一些基本信息,如进程名称、架构、异常信息和正在执行的模块:
你还可以加载异常并查看反编译的指令
无论如何,Visual Studio并不是进行深度分析的最佳工具。
你应该使用IDA或Radare打开它以进行深入检查。
RootedCON是西班牙最重要的网络安全活动之一,也是欧洲最重要的网络安全活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士的热点交流平台。
{% embed url="https://www.rootedcon.com/" %}
☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?想要在HackTricks中看到你的公司广告吗?或者想要获得PEASS的最新版本或下载HackTricks的PDF吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组,或者关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。