内存转储分析

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

您在网络安全公司工作吗？想要看到您的公司在HackTricks中做广告？或者想要访问PEASS的最新版本或下载HackTricks的PDF？请查看订阅计划！
发现我们的独家NFT收藏品PEASS Family
获取官方PEASS＆HackTricks商品
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

RootedCON 是西班牙最重要的网络安全活动之一，也是欧洲最重要的之一。以促进技术知识为使命，这个大会是技术和网络安全专业人士在各个领域的热点交流会。

开始

开始在pcap文件中搜索 恶意软件。使用恶意软件分析中提到的工具。

Volatility是主要的开源内存转储分析框架。这个Python工具分析来自外部来源或VMware虚拟机的转储，根据转储的操作系统配置文件识别数据，如进程和密码。它可以通过插件进行扩展，使其在法医调查中非常灵活。

当转储文件很小（只有几KB，也许几MB）时，它可能是一个迷你转储崩溃报告，而不是内存转储。

如果您安装了Visual Studio，您可以打开此文件并绑定一些基本信息，如进程名称、架构、异常信息和正在执行的模块：

您还可以加载异常并查看反编译的指令

无论如何，Visual Studio并不是执行深度分析的最佳工具。

您应该使用IDA或Radare打开它以深入检查。

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

您在网络安全公司工作吗？想要看到您的公司在HackTricks中做广告？或者想要访问PEASS的最新版本或下载HackTricks的PDF？请查看订阅计划！
发现我们的独家NFT收藏品PEASS Family
获取官方PEASS＆HackTricks商品
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。