HackTricksAnalisi del dump di memoria
Reading time: 2 minutes
tip
Impara e pratica l'Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.
Inizio
Inizia a cercare malware all'interno del pcap. Usa gli strumenti menzionati in Analisi del Malware.
Volatility
Volatility è il principale framework open-source per l'analisi dei dump di memoria. Questo strumento Python analizza i dump provenienti da fonti esterne o VM VMware, identificando dati come processi e password in base al profilo OS del dump. È estensibile con plugin, rendendolo altamente versatile per le indagini forensi.
Rapporto di crash mini dump
Quando il dump è piccolo (solo alcuni KB, forse qualche MB) allora è probabilmente un rapporto di crash mini dump e non un dump di memoria.
.png)
Se hai Visual Studio installato, puoi aprire questo file e legare alcune informazioni di base come nome del processo, architettura, informazioni sull'eccezione e moduli in esecuzione:
.png)
Puoi anche caricare l'eccezione e vedere le istruzioni decompilate
.png)
.png)
Comunque, Visual Studio non è il miglior strumento per eseguire un'analisi della profondità del dump.
Dovresti aprirlo usando IDA o Radare per ispezionarlo in profondità.
tip
Impara e pratica l'Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.