Analyse de dump mémoire

Reading time: 2 minutes

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenir HackTricks

Début

Commencez à chercher des malwares à l'intérieur du pcap. Utilisez les outils mentionnés dans Analyse de Malware.

Volatility

Volatility est le principal cadre open-source pour l'analyse de dump mémoire. Cet outil Python analyse les dumps provenant de sources externes ou de VMs VMware, identifiant des données telles que les processus et les mots de passe en fonction du profil OS du dump. Il est extensible avec des plugins, ce qui le rend très polyvalent pour les enquêtes judiciaires.

Trouvez ici une feuille de triche

Rapport de crash mini dump

Lorsque le dump est petit (juste quelques Ko, peut-être quelques Mo), alors c'est probablement un rapport de crash mini dump et non un dump mémoire.

Si vous avez Visual Studio installé, vous pouvez ouvrir ce fichier et lier quelques informations de base comme le nom du processus, l'architecture, les informations d'exception et les modules en cours d'exécution :

Vous pouvez également charger l'exception et voir les instructions décompilées

Quoi qu'il en soit, Visual Studio n'est pas le meilleur outil pour effectuer une analyse en profondeur du dump.

Vous devriez l'ouvrir en utilisant IDA ou Radare pour l'inspecter en profondeur.

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenir HackTricks