Windows Memory Analysis

Поділитися
Вставка
  • Опубліковано 17 жов 2024
  • As a continuation of the “Introduction to Memory Forensics” video, we will use Volatility to analyze a Windows memory image that contains malware. We’ll first start by using some of the more common plugins that were covered in the previous video, including pstree, pslist, and psscan. As we sift through that data, we’ll look for any processes that stand out as being odd, or potentially malicious. Then, we’ll move on to a more advanced plugin called malfind. As the name implies, malfind helps us locate malicious code within our memory image, including hidden or injected code or DLLs. Next, we’ll look at a similar plugin called hollowfind, which won first place in the 2016 Volatility Plugin Contest, and is designed to automate detection of various process hollowing techniques you may encounter. Lastly, we’ll use procdump to dump a couple of the identified malicious processes. We’ll then hash them, and submit those hashes to VirusTotal to verify our findings.
    Introduction to Memory Forensics:
    • Introduction to Memory...
    Volatility Memory Samples:
    github.com/vol...
    Detecting Deceptive Process Hollowing Techniques:
    cysinfo.com/de...
    This website provides an analysis of the same memory image, and provides a great overview of process hollowing.
    HollowFind:
    github.com/mon...
    Ten Process Injection Techniques:
    www.endgame.co...
    #Forensics #DigitalForensics #DFIR #ComputerForensics #WindowsForensics #MemoryForensics

КОМЕНТАРІ • 40

Наступне
Автоматичне відтворення
Introduction to Redline25:19Introduction to Redline
Introduction to Redline13Cubed
Переглядів 39 тис.
Introduction to Memory Forensics23:24Introduction to Memory Forensics
Introduction to Memory Forensics13Cubed
Переглядів 76 тис.
Introduction to Memory Forensics with Volatility 332:00Introduction to Memory Forensics with Volatility 3
Introduction to Memory Forensics with Volatility 3DFIRScience
Переглядів 66 тис.
Seja Gentil com os Pequenos Animais 😿00:20Seja Gentil com os Pequenos Animais 😿
Seja Gentil com os Pequenos Animais 😿Los Wagners
Переглядів 25 млн
«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненням01:00«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненням
«Був у вкрай важкому стані. Вирішив застрелитись»: розвідник провів 12 діб в окопі з пораненнямРадіо Свобода Україна
Переглядів 1,1 млн
Я в детстве с маминым дорогим шампунем:🧼00:17Я в детстве с маминым дорогим шампунем:🧼
Я в детстве с маминым дорогим шампунем:🧼DO$HIK
Переглядів 2 млн
Подкатила на кофемашине #машмилаш01:00Подкатила на кофемашине #машмилаш
Подкатила на кофемашине #машмилашМАШ МИЛАШ
Переглядів 7 млн
ВСЁ о расширениях файлов в Windows 7, 8.1, 10, 11 | Экспорт / Импорт расширений1:04:18ВСЁ о расширениях файлов в Windows 7, 8.1, 10, 11 | Экспорт / Импорт расширений
ВСЁ о расширениях файлов в Windows 7, 8.1, 10, 11 | Экспорт / Импорт расширенийXpucT
Переглядів 17 тис.
WinDbg Basics for Malware Analysis38:36WinDbg Basics for Malware Analysis
WinDbg Basics for Malware AnalysisOALabs
Переглядів 60 тис.
New Memory Forensics Techniques to Defeat Device Monitoring Malware33:31New Memory Forensics Techniques to Defeat Device Monitoring Malware
New Memory Forensics Techniques to Defeat Device Monitoring MalwareBlack Hat
Переглядів 6 тис.
Is your PC hacked? RAM Forensics with Volatility14:29Is your PC hacked? RAM Forensics with Volatility
Is your PC hacked? RAM Forensics with VolatilityThe PC Security Channel
Переглядів 915 тис.
Windows SRUM Forensics19:05Windows SRUM Forensics
Windows SRUM Forensics13Cubed
Переглядів 21 тис.
Classify Malware with YARA25:21Classify Malware with YARA
Classify Malware with YARAJohn Hammond
Переглядів 28 тис.
How to use Volatility - Memory Analysis For Beginners.25:25How to use Volatility - Memory Analysis For Beginners.
How to use Volatility - Memory Analysis For Beginners.Hack eXPlorer
Переглядів 27 тис.
Analyzing a malware sample with Memory Forensics13:57Analyzing a malware sample with Memory Forensics
Analyzing a malware sample with Memory ForensicsMossé Cyber Security Institute
Переглядів 3,2 тис.
Забирает НОВОРОЖДЁННУЮ дочь из детдома | Зови меня мамой00:58Забирает НОВОРОЖДЁННУЮ дочь из детдома | Зови меня мамой
Забирает НОВОРОЖДЁННУЮ дочь из детдома | Зови меня мамойМама в 16
Переглядів 3,3 млн
Пофарбувала люк і вийшла...00:28Пофарбувала люк і вийшла...
Пофарбувала люк і вийшла...Afinka
Переглядів 304 тис.
🤣 Придумали, как зарабатывать, ничего не делая! И всё получилось! | Новостничок00:25🤣 Придумали, как зарабатывать, ничего не делая! И всё получилось! | Новостничок
🤣 Придумали, как зарабатывать, ничего не делая! И всё получилось! | НовостничокНОВОСТНИЧОК
Переглядів 13 млн
Що НАСПРАВДІ сталося між поляками та українцями? (Napisy PL)1:17:48Що НАСПРАВДІ сталося між поляками та українцями? (Napisy PL)
Що НАСПРАВДІ сталося між поляками та українцями? (Napisy PL)РЕАЛЬНА ІСТОРІЯ
Переглядів 741 тис.
Наггетс Гедагедигедагедао в лабиринте Granny , помоги ему !00:25Наггетс Гедагедигедагедао в лабиринте Granny , помоги ему !
Наггетс Гедагедигедагедао в лабиринте Granny , помоги ему !Фани Хани
Переглядів 1,3 млн
Азовці допитали окупанта-злочинця. Як росіяни виконують накази про стр*ту полонених09:29Азовці допитали окупанта-злочинця. Як росіяни виконують накази про стр*ту полонених
Азовці допитали окупанта-злочинця. Як росіяни виконують накази про стр*ту полоненихАЗОВ
Переглядів 610 тис.
Kluster Duo #настольныеигры #boardgames #игры #games #настолки #настольные_игры00:47Kluster Duo #настольныеигры #boardgames #игры #games #настолки #настольные_игры
Kluster Duo #настольныеигры #boardgames #игры #games #настолки #настольные_игрыДвое играют | Наташа и Вова
Переглядів 12 млн
This referee is too unauthentic, isn't it😂# Dad takes baby# Family has adorable baby# Human cub# H00:16This referee is too unauthentic, isn't it😂# Dad takes baby# Family has adorable baby# Human cub# H
This referee is too unauthentic, isn't it😂# Dad takes baby# Family has adorable baby# Human cub# H开心baby
Переглядів 18 млн