mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00

History

Translator workflow 06b9602174 Translated to Spanish		2023-06-03 01:46:23 +00:00
..
README.md	Translated to Spanish	2023-06-03 01:46:23 +00:00

README.md

Análisis de volcado de memoria

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
Descubre The PEASS Family, nuestra colección de exclusivos NFTs
Obtén el swag oficial de PEASS y HackTricks
Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
Comparte tus trucos de hacking enviando PR a los repositorios hacktricks y hacktricks-cloud.

RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro hirviente para los profesionales de la tecnología y la ciberseguridad en todas las disciplinas.

{% embed url="https://www.rootedcon.com/" %}

Comenzar

Comience buscando malware dentro del archivo pcap. Use las herramientas mencionadas en Análisis de malware.

Volatility

El marco de código abierto líder para el análisis de volcado de memoria es Volatility. Volatility es un script de Python para analizar volcados de memoria que se recopilaron con una herramienta externa (o una imagen de memoria de VMware recopilada al pausar la VM). Por lo tanto, dado el archivo de volcado de memoria y el "perfil" relevante (el sistema operativo desde el que se recopiló el volcado), Volatility puede comenzar a identificar las estructuras en los datos: procesos en ejecución, contraseñas, etc. También es extensible mediante plugins para extraer varios tipos de artefactos.
De: https://trailofbits.github.io/ctf/forensics/

Informe de fallo de volcado mínimo

Cuando el volcado es pequeño (solo algunos KB, tal vez algunos MB), entonces probablemente sea un informe de fallo de volcado mínimo y no un volcado de memoria.

Si tiene Visual Studio instalado, puede abrir este archivo y vincular información básica como el nombre del proceso, la arquitectura, la información de excepción y los módulos que se están ejecutando:

También puede cargar la excepción y ver las instrucciones descompiladas

De todos modos, Visual Studio no es la mejor herramienta para realizar un análisis en profundidad del volcado.

Debe abrirlo usando IDA o Radare para inspeccionarlo en profundidad.