![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo Leute,
ich suche jemanden, der sich mit dem Memory-Forensik-Tool Volatility auskennt. Und zwar interessiert mich das Thema sehr und habe auch schon einiges mit .vmem-Beispiel-Dateien ausprobiert. Leider komme ich nicht weiter, wenn ich Memory-Dumps mit DumpIT (.raw-Images) oder .mem-Dateien mit RamCapture64 erstelle.
In mehreren Videos werden Beispiele mit .vmem-Dateien aus der VMWare-Reihe gezeigt. Das läuft bei mir auch (Dateien sind auch nicht wirklich groß), jedoch wenn ich eigene Images erstelle, werden die Dumps immer ca. 16GB groß.
Jetzt habe ich auch ein nicht gerade langsames System, jedoch wenn ich ein Dump wähle, geht nix weiter. Arbeiten tut mein System, Laut Berechnung müsste ich den Dump folglich 45 Minuten bis 1 Stunde scannen, nur um das passende Profil zu ermitteln.
Jetzt meine Frage, ob das normal ist oder ob es andere Wege gibt einen Live-Dump zu erstellen und daraus Erkenntnisse zu gewinnen? Natürlich gibt es verschiedene Software die man aber zuerst installieren muss (Installation will ich beim Quellsystem vermeiden). Jedoch wenn ich zum Beispiel ein kompromittiertes System vor mir habe, möchte ich einen Memory-Live-Dump erstellen und dieses auf einem sauberen System analysieren.
Deswegen würde ich gerne Volatility verwenden.
Wäre super, wenn mir jemand seine Erfahrungen erzählen könnte. Mich interessiert vor allem, ob das Scannen der Dump-Datei wirklich immer so lange braucht.
Danke euch!
ich suche jemanden, der sich mit dem Memory-Forensik-Tool Volatility auskennt. Und zwar interessiert mich das Thema sehr und habe auch schon einiges mit .vmem-Beispiel-Dateien ausprobiert. Leider komme ich nicht weiter, wenn ich Memory-Dumps mit DumpIT (.raw-Images) oder .mem-Dateien mit RamCapture64 erstelle.
In mehreren Videos werden Beispiele mit .vmem-Dateien aus der VMWare-Reihe gezeigt. Das läuft bei mir auch (Dateien sind auch nicht wirklich groß), jedoch wenn ich eigene Images erstelle, werden die Dumps immer ca. 16GB groß.
Jetzt habe ich auch ein nicht gerade langsames System, jedoch wenn ich ein Dump wähle, geht nix weiter. Arbeiten tut mein System, Laut Berechnung müsste ich den Dump folglich 45 Minuten bis 1 Stunde scannen, nur um das passende Profil zu ermitteln.
Jetzt meine Frage, ob das normal ist oder ob es andere Wege gibt einen Live-Dump zu erstellen und daraus Erkenntnisse zu gewinnen? Natürlich gibt es verschiedene Software die man aber zuerst installieren muss (Installation will ich beim Quellsystem vermeiden). Jedoch wenn ich zum Beispiel ein kompromittiertes System vor mir habe, möchte ich einen Memory-Live-Dump erstellen und dieses auf einem sauberen System analysieren.
Deswegen würde ich gerne Volatility verwenden.
Wäre super, wenn mir jemand seine Erfahrungen erzählen könnte. Mich interessiert vor allem, ob das Scannen der Dump-Datei wirklich immer so lange braucht.
Danke euch!
