Estoy usando volatilidad recientemente y noté que usa el comando kdbgscan, que es sobre el bloque de depuración del kernel. ¿Alguien puede explicar en palabras sencillas qué es y por qué lo estamos utilizando?
Estoy usando volatilidad recientemente y noté que usa el comando kdbgscan, que es sobre el bloque de depuración del kernel. ¿Alguien puede explicar en palabras sencillas qué es y por qué lo estamos utilizando?
El KDBG es una estructura mantenida por el kernel de Windows para propósitos de depuración. Contiene una lista de los procesos en ejecución y los módulos del kernel cargados. También contiene información sobre la versión que le permite determinar si un volcado de memoria provino de un sistema Windows XP frente a Windows 7, qué Service Pack se instaló y el modelo de memoria (32 bits frente a 64 bits).
Lea otras preguntas en las etiquetas forensics