2.3 KiB
Аналіз дампа пам'яті
{{#include ../../../banners/hacktricks-training.md}}
Початок
Почніть шукати шкідливе ПЗ всередині pcap. Використовуйте інструменти, згадані в Аналізі шкідливого ПЗ.
Volatility
Volatility є основною відкритою платформою для аналізу дампів пам'яті. Цей інструмент на Python аналізує дампи з зовнішніх джерел або віртуальних машин VMware, ідентифікуючи дані, такі як процеси та паролі, на основі профілю ОС дампа. Він розширюється за допомогою плагінів, що робить його дуже універсальним для судово-медичних розслідувань.
Звіт про аварійний міні-дамп
Коли дамп малий (всього кілька КБ, можливо, кілька МБ), то це, ймовірно, звіт про аварійний міні-дамп, а не дамп пам'яті.
Якщо у вас встановлений Visual Studio, ви можете відкрити цей файл і прив'язати деяку базову інформацію, таку як назва процесу, архітектура, інформація про виключення та модулі, що виконуються:
Ви також можете завантажити виключення та переглянути декомпільовані інструкції
У будь-якому випадку, Visual Studio не є найкращим інструментом для проведення глибокого аналізу дампа.
Вам слід відкрити його за допомогою IDA або Radare для детального огляду.
{{#include ../../../banners/hacktricks-training.md}}