Como continuação do vídeo “Introduction to Memory Forensics”, usaremos o Volatility para analisar uma imagem de memória do Windows que contém malware. Primeiramente, começaremos usando alguns dos plug-ins mais comuns abordados no vídeo anterior, incluindo pstree, pslist e psscan. À medida que analisamos esses dados, procuramos todos os processos que se destacam como estranhos ou potencialmente maliciosos.
Então, passaremos para um plug-in mais avançado chamado malfind. Como o nome sugere, o malfind nos ajuda a localizar códigos maliciosos em nossa imagem de memória, incluindo códigos ou DLLs ocultos ou injetados. Em seguida, veremos um plug-in semelhante chamado hollowfind, que conquistou o primeiro lugar no Concurso de Plugins de Volatilidade de 2016 e foi projetado para automatizar a detecção de várias técnicas de vazamento de processos que você pode encontrar.
Por fim, usaremos procdump para despejar alguns dos processos maliciosos identificados. Então, nós os enviamos e enviamos esses hashes para o VirusTotal para verificar nossas descobertas.
Introdução a Forense de Memória:
Volatility Memory Samples:
https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
Detecting Deceptive Process Hollowing Techniques:
Detecting Deceptive Process Hollowing Techniques Using HollowFind Volatility Plugin
This website provides an analysis of the same memory image, and provides a great overview of process hollowing.
HollowFind:
https://github.com/monnappa22/HollowFind
Ten Process Injection Techniques:
https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process
Fonte: https://www.youtube.com/channel/UCy8ntxFEudOCRZYT1f7ya9Q