HackTricks内存转储分析
Reading time: 3 minutes
tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:
HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
开始
开始搜索pcap中的恶意软件。使用在恶意软件分析中提到的工具。
Volatility
Volatility是主要的开源内存转储分析框架。这个Python工具分析来自外部源或VMware虚拟机的转储,基于转储的操作系统配置文件识别数据,如进程和密码。它可以通过插件扩展,使其在取证调查中非常灵活。
小型转储崩溃报告
当转储很小(只有几KB,也许几MB)时,它可能是小型转储崩溃报告,而不是内存转储。
.png)
如果你安装了Visual Studio,你可以打开这个文件并绑定一些基本信息,如进程名称、架构、异常信息和正在执行的模块:
.png)
你还可以加载异常并查看反编译的指令
.png)
.png)
无论如何,Visual Studio并不是执行深度分析的最佳工具。
你应该使用IDA或Radare来深入检查它。
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。