При расследовании компьютерного инцидента первостепенное значение имеет анализ содержимого оперативной памяти и жесткого диска скомпрометированной машины. При этом содержимое памяти, как правило, представляет наибольший интерес, так как зачастую вредоносы и хакерские…
Иногда для анализа ВПО или, например, для отладки какого-либо процесса может потребоваться дамп памяти процесса. Но как его собрать без отладчика? Постараемся ответить на этот вопрос в этой статье.Задачи:- Обозначить цель сбора дампа процесса.- Описать структуру памяти процессов в Linux и отметить различия в старой и новой версиях ядра ОС - Рассмотреть вариант снятия дампа памяти процесса внутри виртуальной машины на базе связки гипервизора Xen и фреймворка с открытым исходным кодом DRAKVUF. Читать далее
Читать сначала: Как я Дота-лигу открывал. Часть 1 Продолжение: Как я Дота-лигу открывал. Часть 2 Ответвление: Как я продолжил дело Дота-лиги Год 2008-й, середина осени. В результате вооруженного переворота у меня отобрали лигу, и теперь я стал абсолютно свободен от каких-либо…
Привет, я @Gamoverr, работаю аналитиком угроз в Angara Security. А теперь к делу!Angara SOC спешит дополнить статью наших коллег из RedTeam по разбору методик дампа памяти процесса LSASS. Мы рассмотрим эту тему со стороны защиты и методик детектирования данной активности. С помощью каких инструментов выявлять нежелательный доступ к учетным данным, и как это использовать для оперативного реагирования. Читать далее