Hoy me encargaron el análisis de un archivo .vmem de un RDS de Windows, uno de nuestros clientes debido a algunas conexiones "extrañas" que provienen de los procesos nativos de Windows.
El archivo .vmem extraído tiene un tamaño de 20 GB.
La solicitud de la información de imagen con C:\Python27_64\python.exe vol.py -f XXXXXXX-Snapshot184.vmem imageinfo hasta ahora ha tardado hasta 60 minutos sin movimiento después de:
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
Según las preguntas frecuentes sobre la volatilidad , incluso ha habido informes de memdumps de más de 200GB analizados con volatilidad.
¿Cuáles son las mejores prácticas para analizar memdumps grandes?
Concedido que la paciencia es una virtud y cargar 20 GB en la memoria puede llevar algo de tiempo, especialmente si los bytes tienen que ser analizados en busca de firmas, estoy buscando soluciones o sugerencias en la tendencia de:
- El formato de archivo XXX dará mejores resultados de rendimiento que el formato XXX
- El complemento XXX en ejecución acelerará el uso de complementos futuros
- Ajustes (no oficiales, no admitidos, no documentados)
No puedo imaginar a nadie esperando X días para esperar a que imageinfo devuelva el perfil correcto para grandes volcados.