Ukazała się nowa wersja AuditViewer (MindSniffer, Updated Audit Viewer released), narzędzia, które pozwala w wygodny sposób przeglądać wyniki Memoryze.
Memoryze i (nowy) AuditViewer
Memoryze to narzędzie służące do analizy (zrzutu) pamięci badanego systemu Windows (przypominam również o istnieniu narzędzia Volatility służącego z grubsza do tego samego celu). Memoryze jest ciekawym narzędziem, jego wadą jest jednak niezbyt wygodna konfiguracja przez "skrypty". Nowy AuditViewer zawiera GUI pozwalające na wygodniejszą pracę z Memoryze, przy czym na własne potrzeby wprowadziłem dwie drobne zmiany do MemoryzeLauncher.py:
- domyślnie wybrane są opcje analizy pliku, których zwykle używam,
- plik "skryptu" tworzy się w katalogu tymczasowym, a nie w katalogu aplikacji,
Pierwsza zmiana wynika z faktu, że jestem leniwy i nie chce mi się wiele razy klikać tego samego. Drugą wprowadziłem dlatego, że jestem zdeklarowanym zwolennikiem LUA - nie widzę powodu, by analiza zrzutu pamięci musiała odbywać się z prawami administracyjnymi, a takie są potrzebne (przynajmniej u mnie) by pisać do %programfiles%.
Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic, być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych t
Przesłany: Jun 10, 20:54