Faccio analisi del malware utilizzando la memoria forense per raccogliere più informazioni utili ma, per quanto ne so, il risultato dell'acquisizione della memoria è solo una memoria scaricata per un tempo specifico (istantanea). Quindi, c'è comunque o soluzione per acquisire o analizzare la memoria in modo dinamico che includendo le modifiche?
Se usi uno strumento come IDAPro, puoi eseguire il debug del malware e controllare il contenuto della memoria e dei registri
Come menzionato qui ( link ), puoi usare IDAPro per prendere istantanee mentre sei in uno stato sospeso (in attesa in un punto di interruzione)
Quindi in pratica vedrai dinamicamente il contenuto della modifica della memoria dopo ogni istruzione
Mi sono imbattuto in un progetto DARPA che sembra essere quello che stai cercando. In particolare lo strumento basato su python Analisi differenziale del malware in memoria (DAMM) di 504ENSICS Labs
Disclaimer, non l'ho usato.
Leggi altre domande sui tag forensics incident-analysis