Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis
History
Translator acabad7e2a Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo
2024-07-18 22:12:19 +00:00
..
README.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:12:19 +00:00
volatility-cheatsheet.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:12:19 +00:00

README.md

Analisi del dump di memoria

{% hint style="success" %} Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks
{% endhint %}

RootedCON è l'evento di cybersecurity più rilevante in Spagna e uno dei più importanti in Europa. Con la missione di promuovere la conoscenza tecnica, questo congresso è un punto di incontro fervente per professionisti della tecnologia e della cybersecurity in ogni disciplina.

{% embed url="https://www.rootedcon.com/" %}

Inizio

Inizia a cercare malware all'interno del pcap. Usa gli strumenti menzionati in Analisi del Malware.

Volatility

Volatility è il principale framework open-source per l'analisi dei dump di memoria. Questo strumento Python analizza i dump provenienti da fonti esterne o VM VMware, identificando dati come processi e password in base al profilo OS del dump. È estensibile con plugin, rendendolo altamente versatile per indagini forensi.

Trova qui un cheatsheet

Rapporto di crash mini dump

Quando il dump è piccolo (solo alcuni KB, forse qualche MB) allora probabilmente è un rapporto di crash mini dump e non un dump di memoria.

Se hai Visual Studio installato, puoi aprire questo file e legare alcune informazioni di base come nome del processo, architettura, informazioni sull'eccezione e moduli in esecuzione:

Puoi anche caricare l'eccezione e vedere le istruzioni decompilate

Comunque, Visual Studio non è il miglior strumento per eseguire un'analisi approfondita del dump.

Dovresti aprirlo usando IDA o Radare per ispezionarlo in profondità.

RootedCON è l'evento di cybersecurity più rilevante in Spagna e uno dei più importanti in Europa. Con la missione di promuovere la conoscenza tecnica, questo congresso è un punto di incontro fervente per professionisti della tecnologia e della cybersecurity in ogni disciplina.

{% embed url="https://www.rootedcon.com/" %}

{% hint style="success" %} Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks
{% endhint %}