Domande con tag 'volatility'

1
risposta

Converti dump di memoria grezza in un formato riconosciuto dalla volatilità

Ho scaricato la RAM di un PC Windows 7 utilizzando LiveKd che funzionava in modo semplice. La memoria è stata scaricata ma la conversione del dump binario in "formato di riepilogo" non è riuscita. Quando poi ho provato a leggere il file usa...
posta 30.10.2015 - 00:22
1
risposta

Volatilità Forensics with Large dumps

Oggi mi è stato assegnato l'incarico di analizzare un file .vmem di uno dei nostri clienti RDS di Windows a causa di alcune "strane" connessioni provenienti da processi nativi di Windows. Il file .vmem estratto ha una dimensione di 20 GB. La...
posta 21.03.2018 - 17:14
1
risposta

Crea un dump della memoria dalla riga di comando di Windows

Stavo seguendo questo post sul blog per scaricare la memoria di un host di Windows. Purtroppo questo metodo non funziona su Windows Server 2012 perché i driver di memoria forniti con mdd non sono firmati e questo è richiesto nella nuova versio...
posta 30.12.2015 - 14:22
1
risposta

Volatility.exe suggerisce due profili per il dump della memoria XP. Quale dovrei usare?

La volatilità suggerisce due profili per il dump della memoria XP. Quale dovrei usare per ulteriori indagini? Sono un principiante per la volatilità.     
posta 16.05.2018 - 04:36
1
risposta

Un rootkit può nascondere processi da "Volatility" o altri strumenti forensics di memoria?

So che un rootkit può nascondere i processi dal sistema operativo ingannando lo spazio utente. Ma un rootkit può anche modificare i metadati dei processi in modo tale da non essere nemmeno riconosciuto da uno strumento forense RAM come la volati...
posta 27.12.2015 - 10:55
0
risposte

Estrarre gli allegati di posta elettronica di Outlook dalla memoria

Qualcuno sa se c'è un modo per estrarre dalla posta elettronica di Outlook gli allegati con gli allegati? Quello che ho provato è usare la volatilità per scaricare i file PST dalla memoria e quindi usare libpff per recuperare gli allegati dai fi...
posta 25.10.2016 - 07:27
0
risposte

Plug-in di volatilità per indagare su file exe compressi

Sto usando la volatilità per l'analisi del malware. Ho un processo nella mia immagine di memoria che è pieno di malware usando UPX packer. Il plugin Malfind non mostra il codice iniettato anche per questo. Come posso usare il plugin di volatili...
posta 22.08.2016 - 12:00
0
risposte

Perché ottengo così tanti ADD [EAX], assemblaggio AL nell'output di malfunzionamento nella volatilità? (Memory Forensics)

Ho un dump della memoria e contiene del malware e quando uso il comando male, quasi tutti i processi che mostra hanno un LOT di ADD [EAX], comandi di assemblaggio AL, so x86 ma non capisco perché un processo ha così tanti aggiunge come questo...
posta 19.12.2018 - 14:15