Volatility Forensics with Large dumps

4

Hoy me encargaron el análisis de un archivo .vmem de un RDS de Windows, uno de nuestros clientes debido a algunas conexiones "extrañas" que provienen de los procesos nativos de Windows.

El archivo .vmem extraído tiene un tamaño de 20 GB. La solicitud de la información de imagen con C:\Python27_64\python.exe vol.py -f XXXXXXX-Snapshot184.vmem imageinfo hasta ahora ha tardado hasta 60 minutos sin movimiento después de:

Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...

Según las preguntas frecuentes sobre la volatilidad , incluso ha habido informes de memdumps de más de 200GB analizados con volatilidad.

¿Cuáles son las mejores prácticas para analizar memdumps grandes?

Concedido que la paciencia es una virtud y cargar 20 GB en la memoria puede llevar algo de tiempo, especialmente si los bytes tienen que ser analizados en busca de firmas, estoy buscando soluciones o sugerencias en la tendencia de:

  • El formato de archivo XXX dará mejores resultados de rendimiento que el formato XXX
  • El complemento XXX en ejecución acelerará el uso de complementos futuros
  • Ajustes (no oficiales, no admitidos, no documentados)

No puedo imaginar a nadie esperando X días para esperar a que imageinfo devuelva el perfil correcto para grandes volcados.

    
pregunta Nomad 21.03.2018 - 17:14
fuente

1 respuesta

1

¿Has visto rekall ?

Es una bifurcación de la volatilidad, aunque he tenido mejor suerte con la volatilidad, podría ser más rápido para el análisis inicial

    
respondido por el jas- 09.04.2018 - 10:49
fuente

Lea otras preguntas en las etiquetas