Home אבטחת מידעפורנזיקה Cyber Forensics הסבר על Memory Dump ושימוש בכלי Volatility Workbench

הסבר על Memory Dump ושימוש בכלי Volatility Workbench

by Tal Ben Shushan 04/01/2020 0 comment
הסבר על Memory Dump ושימוש בכלי Volatility Workbench

קראו תחילה את המאמר

פורנזיקה – Cyber Forensics – הסבר על ASCII, דיסק קשיח – Sector & Clusters,Image

Memory Dump

אחת האופציות החזקות יותר היא יצירה של Memory Dump  בעזרתו ניתן להוציא מידע חשוב כמו: סיסמאות, ערכים מה Registry, אתרים שגלשתי אליהם ועוד

על מנת לבצע Memory Dump יש להוריד את הכלי winpmem מהקישור הבא והניחו אותו בכונן אחר, לא חייב

פתחו את ה CMD ואז תגיעו לכונן E על ידי הפקודה

E:\

ואז הקישו

cd winpmem*

*  זה הגירסה שהורדתם אל winpmem

כעת הקישו את הפקודה ממש כמו בתמונה

winpmem_1.6.2.exe Win102019.raw

בסיום תקבלו קובץ .raw

כעת הורידו את הכלי Volatility Workbench והפעילו אותו

בחרו את הקובץ שנשמר ואז בחרו את הגרסת ווינדוס שלכם, חשוב לבחור את הגירסה הנכונה
אם אתם לא יודעים מה הגירסה הקישו את הפקודה winver ב Run

כעת תלחצו Refresh Proccess List ותקבלו רשימה של כל השירותים שרצו ברקע באותו זמן

כעת ניתן לקבל מידע קריטי, כמו Hashdump

אופציות נוספות הן:

iehistory – מציג את ההיסטוריה של הדפדפן IE

dllist – מציג את כל קבצי ה DLL שרצו במערכת

cmdscan – מציג את כל הפקודות שהיו בשימוש ב CMD

כעת ניתן לקחת את ה Hashs ולבצע השוואה שלהם ובכך למצוא את הסיסמא ומידע נוסף שרץ בזיכרון המערכת.

מאמרים קשורים

Leave a Comment