Tengo un volcado de memoria. Sé que está infectado por un rootkit que utiliza su propio sistema de archivos instalado al final del disco. ¿Puede haber artefactos en el archivo dmp para mostrar esto?
La respuesta depende del rootkit y cómo funcionó. Hay SERÁ restos, pero si son visibles, encriptados, mutilados, etc., son otra historia. Como tiene una imagen de memoria, puede analizarla con Volatility, extraer datos del dmp con psdispscan si puede detectar la anomalía de la memoria. También puede usar bisturí para hacer esto, pero nuevamente, necesita algo en lo que basar sus tallas.
Si tuviera que realizar estas tareas, usaría una combinación de Volatilidad, Memoryze , y Redline . Intentaría extraer tantos procesos como sea posible, cualquier anomalía, y quizás empujar algunos de ellos a través de Virustotal o Anubis . Todo depende de mi (s) objetivo (s). Entonces, la respuesta corta, sí, habrá remanentes, la respuesta concluyente: hay remanentes que tal vez no puedas ver.
Puede hacer hash / extraer cada artefacto (en una VM) y comparar eso con una base de datos de malware . Supongo que ya ha tomado una imagen forense del sistema, por supuesto.
Lea otras preguntas en las etiquetas forensics file-system memory