Home Videos Windows Memory Analysis

Windows Memory Analysis

por - TI Forense

Como continuação do vídeo “Introduction to Memory Forensics”, usaremos o Volatility para analisar uma imagem de memória do Windows que contém malware. Primeiramente, começaremos usando alguns dos plug-ins mais comuns abordados no vídeo anterior, incluindo pstree, pslist e psscan. À medida que analisamos esses dados, procuramos todos os processos que se destacam como estranhos ou potencialmente maliciosos.

Então, passaremos para um plug-in mais avançado chamado malfind. Como o nome sugere, o malfind nos ajuda a localizar códigos maliciosos em nossa imagem de memória, incluindo códigos ou DLLs ocultos ou injetados. Em seguida, veremos um plug-in semelhante chamado hollowfind, que conquistou o primeiro lugar no Concurso de Plugins de Volatilidade de 2016 e foi projetado para automatizar a detecção de várias técnicas de vazamento de processos que você pode encontrar.

Por fim, usaremos procdump para despejar alguns dos processos maliciosos identificados. Então, nós os enviamos e enviamos esses hashes para o VirusTotal para verificar nossas descobertas.

Introdução a Forense de Memória:

Volatility Memory Samples:
https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples

Detecting Deceptive Process Hollowing Techniques:

Detecting Deceptive Process Hollowing Techniques Using HollowFind Volatility Plugin


This website provides an analysis of the same memory image, and provides a great overview of process hollowing.

HollowFind:
https://github.com/monnappa22/HollowFind

Ten Process Injection Techniques:
https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process

Fonte: https://www.youtube.com/channel/UCy8ntxFEudOCRZYT1f7ya9Q

Artigos Similares

Deixe seu comentário