mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
38 lines
1.3 KiB
Markdown
38 lines
1.3 KiB
Markdown
# 内存转储分析
|
||
|
||
{{#include ../../../banners/hacktricks-training.md}}
|
||
|
||
## 开始
|
||
|
||
开始**搜索**pcap中的**恶意软件**。使用在[**恶意软件分析**](../malware-analysis.md)中提到的**工具**。
|
||
|
||
## [Volatility](volatility-cheatsheet.md)
|
||
|
||
**Volatility是主要的开源内存转储分析框架**。这个Python工具分析来自外部源或VMware虚拟机的转储,基于转储的操作系统配置文件识别数据,如进程和密码。它可以通过插件扩展,使其在取证调查中非常灵活。
|
||
|
||
[**在这里找到备忘单**](volatility-cheatsheet.md)
|
||
|
||
## 小型转储崩溃报告
|
||
|
||
当转储很小(只有几KB,也许几MB)时,它可能是小型转储崩溃报告,而不是内存转储。
|
||
|
||
.png>)
|
||
|
||
如果你安装了Visual Studio,你可以打开这个文件并绑定一些基本信息,如进程名称、架构、异常信息和正在执行的模块:
|
||
|
||
.png>)
|
||
|
||
你还可以加载异常并查看反编译的指令
|
||
|
||
.png>)
|
||
|
||
.png>)
|
||
|
||
无论如何,Visual Studio并不是执行深度分析的最佳工具。
|
||
|
||
你应该使用**IDA**或**Radare**来**深入**检查它。
|
||
|
||
|
||
|
||
{{#include ../../../banners/hacktricks-training.md}}
|