# Memory dump analysis
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家) * 您在**网络安全公司**工作吗? 想要看到您的**公司在HackTricks中做广告**? 或者想要访问**PEASS的最新版本或下载HackTricks的PDF**? 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 发现我们的独家[NFT收藏品**PEASS Family**](https://opensea.io/collection/the-peass-family) * 获取[**官方PEASS&HackTricks商品**](https://peass.creator-spring.com) * **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上**关注**我 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**。** * 通过向[hacktricks repo](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享您的黑客技巧。
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一,也是**欧洲**最重要的之一。 以**促进技术知识**为使命,这个大会是技术和网络安全专业人士在各个领域的热点交流会。 {% embed url="" %} ## 开始 开始在pcap文件中**搜索** **恶意软件**。 使用[**恶意软件分析**](/generic-methodologies-and-resources/basic-forensic-methodology/malware-analysis.md)中提到的**工具**。 ## [Volatility](/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md) **Volatility是主要的开源内存转储分析框架**。 这个Python工具分析来自外部来源或VMware虚拟机的转储,根据转储的操作系统配置文件识别数据,如进程和密码。 它可以通过插件进行扩展,使其在法医调查中非常灵活。 [**在这里找到一个速查表**](/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet.md) ## 迷你转储崩溃报告 当转储文件很小(只有几KB,也许几MB)时,它可能是一个迷你转储崩溃报告,而不是内存转储。 ![](/files/SaU2Y40tl7ieZGB3lo4c) 如果您安装了Visual Studio,您可以打开此文件并绑定一些基本信息,如进程名称、架构、异常信息和正在执行的模块: ![](/files/cmy1uj3s1NWOnWTsdvk5) 您还可以加载异常并查看反编译的指令 ![](/files/oTNdbaSGze3GRMAGbSlB) ![](/files/yaVZEwxykmyOYJoJ91vs) 无论如何,Visual Studio并不是执行深度分析的最佳工具。 您应该使用IDA或Radare打开它以深入检查。 ​
[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一,也是**欧洲**最重要的之一。 以**促进技术知识**为使命,这个大会是技术和网络安全专业人士在各个领域的热点交流会。 {% embed url="" %}
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家) * 您在**网络安全公司**工作吗? 想要看到您的**公司在HackTricks中做广告**? 或者想要访问**PEASS的最新版本或下载HackTricks的PDF**? 请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 发现我们的独家[NFT收藏品**PEASS Family**](https://opensea.io/collection/the-peass-family) * 获取[**官方PEASS&HackTricks商品**](https://peass.creator-spring.com) * **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上**关注**我 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**。** * 通过向[hacktricks repo](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享您的黑客技巧。
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://hacktricks.xsx.tw/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.