Análisis de memoria con Volatility
COMENTARIOS |
ESTADÍSTICAS |
RÉCORDS
|
Título del Test: Análisis de memoria con Volatility Descripción: Volatlity |
Nuevo Comentario| Comentarios |
|---|
NO HAY REGISTROS |
|
Un análisis de memoria RAM puede obtener artefactos interesantes como. Contraseñas del sistema, pero no conexiones de red. Elementos ocultos, pero no copias de logs remot. Procesos en ejecución, pero no malware. Direcciones Web, pero no contraseñas del sistema. Para trabajar con Volatility, las imágenes de memoria pueden tener el formato... Solo RAW. Sólo archivos de hibernación. Sólo estados guardados de MV. Todos los anteriores. Una gran diferencia entre Volatility 2.x y 3.x es que en la versión 2.x hay que indicar el perfil de la memoria. True. False. Para saber más o menos a qué perfil de memoria puede corresponder un volcado, podemos emplear los comandos. help e imageinfo. kpcrscan y hivedump. imageinfo y kdbgscan. kpcrscan y vaddump. Para buscar procesos ocultos en el sistema emplearemos el comando. pslist. pstree. cmdline. Ninguno de los anteriores. Para descargar el espacio de memoria de un proceso a un fichero emplearemos. memdump. procdump. dlldump. Ninguno de los anteriores. Para escanear conexiones de red en un SO Windows moderno (no XP ni 2003) usaremos: sockscan. netscan. connscan. connections. Para buscar drivers cargados en el sistema emplearemos el comando filescan. True. False. Para buscar entradas en la tabla maestra de archivos usamos. mftparser. mbrparser. volshell. bioskbd. Para buscar objetos MUTEX empleamos mutexscan. True. False. |