• XSS.stack #1 – первый литературный журнал от юзеров форума

Чем снимать дамп памяти?

Отслеживать
b1t

b1t

(L2) cache
Пользователь
Регистрация
16.06.2006
Сообщения
326
Реакции
5
Ребята, возникла задача снимать из рабочей системы (WINDOWS XP/W2k3) дамп памяти в целях "расследования" что там кишит.
Т.е. для проведения экспертиз :D нет, я не эксперт, просто интересно.

P.S. я читал, что там хранится ценное информация: введенные пароли (особо сетевые), ключи от криптованных контейнеров и т.п. важная инфа. Вот и хочу поэкспериментировать.

P.S.S. тулза очень желательна GUI. Язык не важно. портативный, чтоб можно было запустить БЕЗ установки.
Еще один момент - этот снятый дамп чтоб тот же тулза умел читать :))))
 
Спасибо конечно... но.. :P как это сделать?
вот у меня есть WinHEX, как с его помощью снимать дамп на компе COMP1 и анализировать это дело на компе COMP2 ?
 
Я предложу немного сложный изначально путь, но он более системный, чтоле.
То, о чем ты говоришь, называется forensics. Для этого действа разработали очень прикольный фреймворк - https://www.volatilesystems.com/default/volatility
под него написано куча плагинов и куча туториалов.
Поиграйся с ним, и погугли по поводу форенсик исследований ещё =) найдешь очень много интересного.

PS совсем забыл, конечно чтобы использовать волатайл нужно снять снапшот памяти полный, это можно сделать например с помощью утилитки от мунсолов - DumpIt - http://blog.zeltser.com/post/7952715630/me...dumpit-for-dfir
 
ph0enix.re

:P как раз это хочу делать в целях форензики, т.е. само-иследование. (учится)

А под WINDOWS нету? а то все под linux. думаю очень сложно будет для новичка :(
DumpIT очень легкая и удобная вещь :yahoo:
Вот только еще и с Volatility Framework разобратся ... было бы супер.
 
дык называйте форенсик, форенсиком =) иначе вам будут предлагать винхексы с петулзами =)
Ну думал испугну народ )))) :crazy:
да и я не эксперт, я только хочу пока учится.
 
Все же не помешал бы мануал по Volatility Framework. на русском думаю вряд ли будет.. хотя даже на английском не нашел. нашел только как запустить:
ВОТ
И больше ничего полезного. Если попадется у вас что то интересное - скиньте пожалуйста.
 
b1t тамже написано есть еще утилиты:
The administrator can use free memory forensics tools such as The Volatility Framework, Mandiant Redline and HB Gary Responder Community Edition to examine the memory file’s contents for malicious artifacts.

Не получается с Volatility, попробуй другие, например Redline

tumblr_llj1fmNJgV1qd9o7r.png
 
accelerator

REDLINE вроде нормально, но не умеет открыть дамп созданный от DumpIt :(
А это важно, т.к. он портативный, маленький и очень удобный.
А RedLine надо установить, еще и 4_й FrameWork требует.
 
может кто то подскажет чем можно "исследовать" дамп, снятой с помощью DumpIT?

HB Gary Responder Community Edition - не могу найти
Mandiant Redline - не может открыть
The Volatility Framework - не умею пользоватся :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх