Ho un dump della memoria. So che è stato infettato da un rootkit che utilizza il proprio file system installato alla fine del disco. Ci possono essere artefatti nel file dmp per mostrare questo?
La risposta dipende tutto dal rootkit e da come funziona. I resti di SARANNO , ma se sono visibili, crittografati, mutilati, ecc., Sono un'altra storia. Dal momento che hai un'immagine di memoria, puoi analizzarla con Volatilità, ritagliare i dati dal dmp con psdispscan se è possibile rilevare l'anomalia dalla memoria. Puoi anche usare bisturi per farlo, ma ancora una volta, hai bisogno di qualcosa su cui basare le tue incisioni.
Se dovessi svolgere queste attività, utilizzerei una combinazione di Volatilità, Memoryze e Redline . Proverò a ritagliare quanti più processi possibili, eventuali anomalie, e magari a forzarne alcuni attraverso Virustotal o Anubis . Tutto dipende dal mio obiettivo (i). Quindi la risposta breve, sì, ci saranno i resti, la risposta definitiva: ci sono dei resti che potresti non essere in grado di vedere.
Puoi eseguire l'hash / estrarre ciascun artefatto (in una VM) e confrontarlo con un database di malware . Presumo che tu abbia già acquisito un'immagine dal punto di vista forense del sistema.
Leggi altre domande sui tag memory forensics file-system