Descargué la memoria RAM de una PC con Windows 7 usando LiveKd que funcionó básicamente. La memoria se volcó, pero luego la conversión del volcado binario a "formato de resumen" falló. Cuando intenté leer el archivo usando volatility , me dice que no hay una asignación de espacio de direcciones adecuada, lo cual es lógico. ¿Hay alguna forma de convertir el volcado de memoria sin formato en un formato reconocido por la volatilidad?
De forma predeterminada, LiveKD adquiere un volcado de memoria kernel que aparece como un archivo de volcado por caída, no un volcado en bruto completo del contenido de la RAM. La volatilidad requiere un volcado de memoria completo . Recomiendo cualquiera de estas herramientas para imágenes de memoria de Windows . El objetivo de LiveKD es la depuración, no el análisis forense (KD = depuración del kernel). Es una alternativa a tener que usar WinDbg y KD a través de una conexión en serie para depurar el kernel 'en vivo' (y el sistema no tiene que iniciarse en modo de depuración). LiveKD engaña a los depuradores para que piensen que están viendo un archivo de volcado de caída implementando un controlador de filtro de sistema de archivos que presenta un archivo de volcado de caída 'virtual' que los depuradores pueden abrir.
Dicho esto, el volcado desde LiveKD técnicamente puede contener un volcado completo de RAM si se le dieron las opciones correctas, pero con un encabezado que lo precede, de modo que los depuradores reconozcan el formato del archivo como un archivo volcado. Un archivo de volcado de caída es simplemente un encabezado de archivo seguido por el contenido de la memoria física, de modo que el controlador pueda satisfacer las lecturas del archivo de volcado virtual con el contenido de la memoria física, que el controlador puede leer fácilmente desde el objeto de la sección \Device\Physical Memory crea el administrador de memoria.
En el libro The Art of Memory Forensics escrito por los creadores de Volatility , discuten la estructura de los volcados de Windows en las páginas 96-98, explicando que "el formato del archivo de volcado de Windows se diseñó para propósitos de depuración" y que comienzan con una estructura _DMP_HEADER o _DMP_HEADER64 (p. 96 ). Los autores aclaran que solo los volcados de memoria completos son compatibles con Volatilidad, no los volcados de memoria kernel ni los volcados pequeños ( aquí hay una entrada del blog de MS TechNet que explica la diferencia ).
Personalmente uso 010 Hex Editor para muchas tareas de análisis forense que involucran datos binarios, y tiene un pre Plantilla hecha para analizar volcados de memoria de 32 bits . Consulte la documentación de Volatility para obtener más información sobre los formatos de encabezado del volcado de sucesos.
Lea otras preguntas en las etiquetas forensics memory volatility