Ci sono delle risorse per il forensystem del file system in memoria?

1

Ho un dump della memoria. So che è stato infettato da un rootkit che utilizza il proprio file system installato alla fine del disco. Ci possono essere artefatti nel file dmp per mostrare questo?

    
posta abs2run 20.08.2014 - 13:00
fonte

2 risposte

1

La risposta dipende tutto dal rootkit e da come funziona. I resti di SARANNO , ma se sono visibili, crittografati, mutilati, ecc., Sono un'altra storia. Dal momento che hai un'immagine di memoria, puoi analizzarla con Volatilità, ritagliare i dati dal dmp con psdispscan se è possibile rilevare l'anomalia dalla memoria. Puoi anche usare bisturi per farlo, ma ancora una volta, hai bisogno di qualcosa su cui basare le tue incisioni.

Se dovessi svolgere queste attività, utilizzerei una combinazione di Volatilità, Memoryze e Redline . Proverò a ritagliare quanti più processi possibili, eventuali anomalie, e magari a forzarne alcuni attraverso Virustotal o Anubis . Tutto dipende dal mio obiettivo (i). Quindi la risposta breve, sì, ci saranno i resti, la risposta definitiva: ci sono dei resti che potresti non essere in grado di vedere.

    
risposta data 30.10.2014 - 16:18
fonte
0

Puoi eseguire l'hash / estrarre ciascun artefatto (in una VM) e confrontarlo con un database di malware . Presumo che tu abbia già acquisito un'immagine dal punto di vista forense del sistema.

    
risposta data 29.08.2014 - 22:41
fonte

Leggi altre domande sui tag