hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis
2024-07-18 22:08:20 +00:00
..
README.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:08:20 +00:00
volatility-cheatsheet.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:08:20 +00:00

内存转储分析

{% hint style="success" %} 学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks
{% endhint %}

RootedCON西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会的 使命是促进技术知识,是各个学科技术和网络安全专业人士的热切交流平台。

{% embed url="https://www.rootedcon.com/" %}

开始

开始 在 pcap 中搜索 恶意软件。使用 恶意软件分析 中提到的 工具

Volatility

Volatility 是内存转储分析的主要开源框架。这个 Python 工具分析来自外部源或 VMware 虚拟机的转储,基于转储的操作系统配置文件识别数据,如进程和密码。它可以通过插件扩展,使其在取证调查中非常灵活。

在这里找到备忘单

小型转储崩溃报告

当转储很小(只有几 KB可能几 MB它可能是小型转储崩溃报告而不是内存转储。

如果您安装了 Visual Studio可以打开此文件并绑定一些基本信息如进程名称、架构、异常信息和正在执行的模块

您还可以加载异常并查看反编译的指令

无论如何Visual Studio 不是执行转储深度分析的最佳工具。

您应该使用 IDARadare 来深入检查它。

RootedCON西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会的 使命是促进技术知识,是各个学科技术和网络安全专业人士的热切交流平台。

{% embed url="https://www.rootedcon.com/" %}

{% hint style="success" %} 学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks
{% endhint %}