hacktricks/forensics/basic-forensic-methodology/memory-dump-analysis/README.md

Analyse des Speicherabbilds

Lernen Sie das Hacken von AWS von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

• Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks bewerben? Oder möchten Sie Zugriff auf die neueste Version von PEASS oder HackTricks im PDF-Format haben? Überprüfen Sie die ABONNEMENTPLÄNE!
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦@carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das hacktricks repo und hacktricks-cloud repo einreichen.

RootedCON ist die relevanteste Cybersicherheitsveranstaltung in Spanien und eine der wichtigsten in Europa. Mit dem Ziel, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersicherheitsfachleute in jeder Disziplin.

{% embed url="https://www.rootedcon.com/" %}

Start

Beginnen Sie mit der Suche nach Malware in der pcap. Verwenden Sie die in Malware-Analyse erwähnten Tools.

Volatility

Volatility ist das wichtigste Open-Source-Framework für die Analyse von Speicherabbildern. Dieses Python-Tool analysiert Dump-Dateien von externen Quellen oder VMware-VMs und identifiziert Daten wie Prozesse und Passwörter basierend auf dem Betriebssystemprofil des Dumps. Es ist erweiterbar mit Plugins, was es für forensische Untersuchungen äußerst vielseitig macht.

Hier finden Sie eine Spickzettel

Mini Dump Crash-Bericht

Wenn der Dump klein ist (nur einige KB, vielleicht ein paar MB), handelt es sich wahrscheinlich um einen Mini Dump Crash-Bericht und nicht um ein Speicherabbild.

Wenn Sie Visual Studio installiert haben, können Sie diese Datei öffnen und einige grundlegende Informationen wie Prozessname, Architektur, Ausnahmeinformationen und ausgeführte Module anzeigen:

Sie können auch die Ausnahme laden und die dekompilierten Anweisungen anzeigen

So oder so ist Visual Studio nicht das beste Werkzeug, um eine Analyse der Tiefe des Dumps durchzuführen.

Sie sollten es mit IDA oder Radare öffnen, um es gründlich zu untersuchen.

​

RootedCON ist die relevanteste Cybersicherheitsveranstaltung in Spanien und eine der wichtigsten in Europa. Mit dem Ziel, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersicherheitsfachleute in jeder Disziplin.

{% embed url="https://www.rootedcon.com/" %}

Lernen Sie das Hacken von AWS von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

• Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks bewerben? Oder möchten Sie Zugriff auf die neueste Version von PEASS oder HackTricks im PDF-Format haben? Überprüfen Sie die ABONNEMENTPLÄNE!
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦@carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das hacktricks repo und hacktricks-cloud repo einreichen.