hacktricks/forensics/basic-forensic-methodology/memory-dump-analysis
2024-02-10 15:36:32 +00:00
..
README.md Translated to German 2024-02-10 15:36:32 +00:00

Analyse des Speicherabbilds

Lernen Sie das Hacken von AWS von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

RootedCON ist die relevanteste Cybersicherheitsveranstaltung in Spanien und eine der wichtigsten in Europa. Mit dem Ziel, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersicherheitsfachleute in jeder Disziplin.

{% embed url="https://www.rootedcon.com/" %}

Start

Beginnen Sie mit der Suche nach Malware in der pcap. Verwenden Sie die in Malware-Analyse erwähnten Tools.

Volatility

Volatility ist das wichtigste Open-Source-Framework für die Analyse von Speicherabbildern. Dieses Python-Tool analysiert Dump-Dateien von externen Quellen oder VMware-VMs und identifiziert Daten wie Prozesse und Passwörter basierend auf dem Betriebssystemprofil des Dumps. Es ist erweiterbar mit Plugins, was es für forensische Untersuchungen äußerst vielseitig macht.

Hier finden Sie eine Spickzettel

Mini Dump Crash-Bericht

Wenn der Dump klein ist (nur einige KB, vielleicht ein paar MB), handelt es sich wahrscheinlich um einen Mini Dump Crash-Bericht und nicht um ein Speicherabbild.

Wenn Sie Visual Studio installiert haben, können Sie diese Datei öffnen und einige grundlegende Informationen wie Prozessname, Architektur, Ausnahmeinformationen und ausgeführte Module anzeigen:

Sie können auch die Ausnahme laden und die dekompilierten Anweisungen anzeigen

So oder so ist Visual Studio nicht das beste Werkzeug, um eine Analyse der Tiefe des Dumps durchzuführen.

Sie sollten es mit IDA oder Radare öffnen, um es gründlich zu untersuchen.

RootedCON ist die relevanteste Cybersicherheitsveranstaltung in Spanien und eine der wichtigsten in Europa. Mit dem Ziel, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersicherheitsfachleute in jeder Disziplin.

{% embed url="https://www.rootedcon.com/" %}

Lernen Sie das Hacken von AWS von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!