hacktricks/forensics/basic-forensic-methodology/memory-dump-analysis

内存转储分析

☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在HackTricks中看到你的公司广告吗？或者想要获得PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群组或电报群组，或者关注我在Twitter上的🐦@carlospolopm。
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。

RootedCON是西班牙最重要的网络安全活动之一，也是欧洲最重要的网络安全活动之一。作为促进技术知识的使命，这个大会是技术和网络安全专业人士的热点交流平台。

{% embed url="https://www.rootedcon.com/" %}

开始

开始在pcap文件中搜索恶意软件。使用恶意软件分析中提到的工具。

Volatility

用于内存转储分析的首选开源框架是Volatility。Volatility是一个用于解析使用外部工具（或通过暂停虚拟机收集的VMware内存映像）收集的内存转储的Python脚本。因此，通过提供内存转储文件和相关的“配置文件”（收集转储的操作系统），Volatility可以开始识别数据中的结构：运行中的进程、密码等。它还可以使用插件来提取各种类型的工件。
来源：https://trailofbits.github.io/ctf/forensics/

迷你转储崩溃报告

当转储文件很小（只有几KB，也许几MB）时，它可能是一个迷你转储崩溃报告，而不是内存转储。

如果你安装了Visual Studio，你可以打开这个文件并绑定一些基本信息，如进程名称、架构、异常信息和正在执行的模块：

你还可以加载异常并查看反编译的指令

无论如何，Visual Studio并不是进行深度分析的最佳工具。

你应该使用IDA或Radare打开它以进行深入检查。

​

RootedCON是西班牙最重要的网络安全活动之一，也是欧洲最重要的网络安全活动之一。作为促进技术知识的使命，这个大会是技术和网络安全专业人士的热点交流平台。

{% embed url="https://www.rootedcon.com/" %}

☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在HackTricks中看到你的公司广告吗？或者想要获得PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群组或电报群组，或者关注我在Twitter上的🐦@carlospolopm。
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。