Recentemente sto usando volatilità e ho notato che usa il comando kdbgscan, che riguarda il blocco del debugger del kernel. Qualcuno può spiegare in parole povere cos'è e perché lo stiamo usando?
Recentemente sto usando volatilità e ho notato che usa il comando kdbgscan, che riguarda il blocco del debugger del kernel. Qualcuno può spiegare in parole povere cos'è e perché lo stiamo usando?
Il KDBG è una struttura gestita dal kernel di Windows a scopo di debug. Contiene un elenco dei processi in esecuzione e dei moduli del kernel caricati. Contiene anche alcune informazioni sulla versione che consentono di determinare se un dump della memoria proviene da un sistema Windows XP rispetto a Windows 7, quale Service Pack è stato installato e il modello di memoria (32-bit vs 64-bit).
Leggi altre domande sui tag forensics