За исключением Volatility, большинство инструментов для анализа памяти поддерживают только один или два формата файлов. Если вы получили дамп памяти в формате, несовместимом с вашим инструментом анализа, вам следует подумать о его преобразовании в другой формат.
Еще по теме: Дамп оперативной памяти с помощью FTK Imager
Как упоминалось ранее, необработанный формат (raw) является наиболее широко поддерживаемым, поэтому он часто становится целевым форматом во время преобразования.
Как изменить формат дампа памяти
Вот список инструментов, которые могут помочь вам в решении этих задач:
- MoonSols Windows Memory Toolkit (MWMT) — набор инструментов содержит утилиты для преобразования файлов гибернации и аварийных дампов в формат raw. Он также может преобразовывать файлы гибернации и raw в аварийные дампы.
- VMware vmss2core — утилита vmss2core.exe может преобразовывать файлы сохраненного состояния (.vmsn) или моментальных снимков (.vmsn) VMware в аварийные дампы, совместимые с Microsoft WinDBG или gdb.
- Microsoft vm2dmp — инструмент может преобразовывать выбранные файлы памяти Microsoft Hyper-V в аварийные дампы (в зависимости от объема памяти и версии сервера Hyper-V).
- Volatility imagecopy — подключаемый модуль imagecopy может копировать дамп памяти raw из файлов любого из следующих форматов: аварийный дамп, файл гибернации, VMware, VirtualBox, QEMU, Firewire, Mach-o, LiME и EWF.
- Volatility raw2dmp — подключаемый модуль raw2dmp может преобразовывать дамп памяти raw в аварийный дамп Windows для анализа с помощью отладчика Microsoft WinDBG.
Учитывая доступные варианты, вы должны быть хорошо подготовлены для преобразования в любой из форматов файлов, с которыми вы можете столкнуться, или из них. Кроме того, имейте в виду, что для достижения конечной цели может потребоваться выполнить двухэтапное преобразование.
Например, если вы получили файл гибернации и вам нужно проанализировать его в WinDBG (который принимает только аварийные дампы), вы можете сначала преобразовать его в raw формат, а затем из необработанного в аварийный дамп.
Следующие команды показывают, как использовать плагины Volatility imagecopy и raw2dmp. Оба они принимают параметр -O/--output-image, который указывает путь к файлу назначения. Чтобы преобразовать аварийный дамп (или любой другой формат) в raw:
1 2 3 |
$ python vol.py -f win7x64.dmp --profile=Win7SP0x64 imagecopy -O copy.raw Volatility Foundation Volatility Framework 2.4 Writing data (5.00 MB chunks): |........[snip]........................| |
Чтобы преобразовать дамп памяти в формате raw в аварийный дамп:
1 2 3 |
$ python vol.py -f memory.raw --profile=Win8SP0x64 raw2dmp -O win8.dmp Volatility Foundation Volatility Framework 2.4 Writing data (5.00 MB chunks): |........[snip]........................| |
Время, необходимое для преобразования, зависит от размера исходного дампа памяти. Вы должны увидеть прогресс в терминале, для каждого фрагмента размером 5 МБ, записанного в выходной файл.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Создание флешки для дампа RAM (атака Cold Boot)
- Извлечение паролей из дампа памяти используя MimiPenguin