# Аналіз дампа пам'яті

{{#include ../../../banners/hacktricks-training.md}}

## Початок

Почніть **шукати** **шкідливе ПЗ** всередині pcap. Використовуйте **інструменти**, згадані в [**Аналізі шкідливого ПЗ**](../malware-analysis.md).

## [Volatility](../../../generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md)

**Volatility є основним відкритим фреймворком для аналізу дампів пам'яті**. Цей інструмент на Python аналізує дампи з зовнішніх джерел або віртуальних машин VMware, ідентифікуючи дані, такі як процеси та паролі на основі профілю ОС дампа. Він розширюється за допомогою плагінів, що робить його дуже універсальним для судово-медичних розслідувань.

**[Знайдіть тут шпаргалку](../../../generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md)**

## Звіт про аварійний міні-дамп

Коли дамп малий (всього кілька КБ, можливо, кілька МБ), то це, ймовірно, звіт про аварійний міні-дамп, а не дамп пам'яті.

![](<../../../images/image (216).png>)

Якщо у вас встановлений Visual Studio, ви можете відкрити цей файл і зв'язати деяку базову інформацію, таку як назва процесу, архітектура, інформація про виключення та модулі, що виконуються:

![](<../../../images/image (217).png>)

Ви також можете завантажити виключення та переглянути декомпільовані інструкції

![](<../../../images/image (219).png>)

![](<../../../images/image (218) (1).png>)

У будь-якому випадку, Visual Studio не є найкращим інструментом для проведення аналізу глибини дампа.

Вам слід **відкрити** його за допомогою **IDA** або **Radare** для детального огляду.

​

{{#include ../../../banners/hacktricks-training.md}}