hacktricks/src/forensics/basic-forensic-methodology/memory-dump-analysis

内存转储分析

{{#include ../../../banners/hacktricks-training.md}}

开始

开始搜索pcap中的恶意软件。使用在恶意软件分析中提到的工具。

Volatility

Volatility是内存转储分析的主要开源框架。这个Python工具分析来自外部源或VMware虚拟机的转储，基于转储的操作系统配置文件识别数据，如进程和密码。它可以通过插件扩展，使其在取证调查中非常灵活。

在这里找到备忘单

小型转储崩溃报告

当转储很小（只有几KB，也许几MB）时，它可能是小型转储崩溃报告，而不是内存转储。

如果您安装了Visual Studio，可以打开此文件并绑定一些基本信息，如进程名称、架构、异常信息和正在执行的模块：

您还可以加载异常并查看反编译的指令

无论如何，Visual Studio并不是执行转储深度分析的最佳工具。

您应该使用IDA或Radare来深入检查它。

​

{{#include ../../../banners/hacktricks-training.md}}