Ho scaricato la RAM di un PC Windows 7 utilizzando LiveKd che funzionava in modo semplice. La memoria è stata scaricata ma la conversione del dump binario in "formato di riepilogo" non è riuscita. Quando poi ho provato a leggere il file usando volatility , mi dice che non esiste una mappatura dello spazio degli indirizzi adatta che sia logica. C'è un modo per convertire il dump della memoria grezza in un formato che è riconosciuto dalla volatilità?
Per impostazione predefinita, LiveKD acquisisce un dump di memoria kernel che appare come un file di dettagli arresto anomalo, non un dump grezzo completo dei contenuti della RAM. La volatilità richiede un dump di memoria completo . Raccomando qualsiasi questi strumenti per l'imaging della memoria di Windows . L'obiettivo di LiveKD è il debugging, non l'analisi forense (KD = kernel debugging). È un'alternativa al dover utilizzare WinDbg e KD tramite una connessione seriale per eseguire il debug del kernel 'live' (e il sistema non deve essere avviato in modalità debug). LiveKD fa impazzire i debugger pensando che stiano guardando un file di dettagli di arresto anomalo implementando un driver di filtro del file system che presenta un file di dump di arresto "virtuale" che i debugger possono aprire.
Detto questo, il dump di LiveKD tecnicamente può contenere un dump di RAM completo se sono state fornite le opzioni corrette ma con un'intestazione che lo precede in modo tale che i debugger riconoscano il formato del file come un file di dettagli crash. Un file di crash dump è semplicemente un'intestazione del file seguita dal contenuto della memoria fisica, in modo che il driver possa soddisfare le letture del file di dump virtuale con il contenuto della memoria fisica, che il driver può facilmente leggere dall'oggetto della sezione \Device\Physical Memory il crea il gestore della memoria.
In il libro The Art of Memory Forensics scritto dai creatori di Volatility discutono la struttura dei dump degli arresti anomali di Windows a pagg. 96-98, spiegando che "il formato di file di arresto anomalo di Windows è stato progettato per scopi di debug" e che iniziano con una struttura _DMP_HEADER o _DMP_HEADER64 (p. ). Gli autori chiariscono che solo i dump di memoria completi sono compatibili con Volatility, non con kernel dump di memoria né con piccoli dump ( c'è un post di blog MS TechNet che spiega la differenza ).
Personalmente uso l'editor esadecimale 010 per molte attività di analisi forense che coinvolgono dati binari e ha un pre modello per l'analisi dei dump di arresto anomalo a 32 bit . Consulta la documentazione Volatility per ulteriori informazioni sui formati delle intestazioni di crash dump.
Leggi altre domande sui tag memory forensics volatility