Oggi mi è stato assegnato l'incarico di analizzare un file .vmem di uno dei nostri clienti RDS di Windows a causa di alcune "strane" connessioni provenienti da processi nativi di Windows.
Il file .vmem estratto ha una dimensione di 20 GB.
La richiesta di imageinfo con C:\Python27_64\python.exe vol.py -f XXXXXXX-Snapshot184.vmem imageinfo ha fino ad ora richiesto fino a 60 minuti senza movimento dopo:
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
In base alle Domande frequenti sulla volatilità , sono stati persino segnalati casi di memdumps di oltre 200 GB analizzati con volatilità.
Quali sono le migliori pratiche per analizzare i grandi memdumps?
Dato che la pazienza è una virtù e il caricamento di 20 GB in memoria può richiedere un po 'di tempo, soprattutto se i byte devono essere analizzati per le firme, sto cercando soluzioni o suggerimenti nella tendenza di:
- Il formato del file XXX fornirà risultati di rendimento migliori rispetto al formato XXX
- Il plug-in in esecuzione su XXX velocizzerà l'utilizzo dei plug-in futuri
- Tweaks (non ufficiale, non supportato, non documentato)
Non riesco a immaginare che qualcuno in attesa di X giorni attenda che imageinfo restituisca il profilo corretto per i dump di grandi dimensioni.