Preguntas con etiqueta 'volatility'

1
respuesta

Convertir el volcado de memoria sin formato a un formato reconocido por la volatilidad

Descargué la memoria RAM de una PC con Windows 7 usando LiveKd que funcionó básicamente. La memoria se volcó, pero luego la conversión del volcado binario a "formato de resumen" falló. Cuando intenté leer el archivo usando volatility...
hecha 30.10.2015 - 00:22
1
respuesta

Volatility Forensics with Large dumps

Hoy me encargaron el análisis de un archivo .vmem de un RDS de Windows, uno de nuestros clientes debido a algunas conexiones "extrañas" que provienen de los procesos nativos de Windows. El archivo .vmem extraído tiene un tamaño de 20 GB. La s...
hecha 21.03.2018 - 17:14
1
respuesta

Crear volcado de memoria desde la línea de comandos de Windows

Estaba siguiendo esto publicación de blog para descargar la memoria de un host de Windows. Lamentablemente, este método no funciona en Windows Server 2012 porque los controladores de memoria que vienen con mdd no están firmados y esto es neces...
hecha 30.12.2015 - 14:22
1
respuesta

Volatility.exe sugiere dos perfiles para el volcado de memoria de XP. ¿Cuál debo usar?

La volatilidad sugiere dos perfiles para el volcado de memoria de XP. ¿Cuál debo usar para una mayor investigación? Soy un principiante por la volatilidad.     
hecha 16.05.2018 - 04:36
1
respuesta

¿Puede un rootkit ocultar procesos de "Volatilidad" u otras herramientas forenses de memoria?

Sé que un rootkit puede ocultar procesos del sistema operativo al engañar en el espacio del usuario. Pero, ¿puede un rootkit también modificar los metadatos de un proceso de manera tal que ni siquiera sea reconocido por una herramienta forense R...
hecha 27.12.2015 - 10:55
0
respuestas

Extraer datos adjuntos de correo electrónico de Outlook de la memoria

¿Alguien sabe si hay una manera de extraer correos electrónicos de Outlook con archivos adjuntos de la memoria? Lo que he intentado es usar la volatilidad para volcar archivos PST de la memoria y luego usar libpff para recuperar los archivos adj...
hecha 25.10.2016 - 07:27
0
respuestas

Complementos de volatilidad para investigar archivos exe empaquetados

Estoy utilizando la volatilidad para el análisis de malware. Tengo un proceso en mi imagen de memoria que está empaquetado por malware utilizando el empaquetador UPX. El complemento Malfind no muestra el código inyectado para él también. ¿Cómo...
hecha 22.08.2016 - 12:00
0
respuestas

¿Por qué obtengo tantos ADD [EAX], AL ensamblado en la salida de error en la volatilidad? (Memoria forense)

Tengo un volcado de memoria, y tiene algunos programas maliciosos en él y cuando uso el comando malfind, casi todos los procesos que muestra tienen MUCHOS AGREGOS [EAX], comandos de ensamblaje AL, sé x86 pero no entiendo por qué un proceso ti...
hecha 19.12.2018 - 14:15