Forensics: Hashdump aus Memorydump auslesen

In diesem VideoTutorial wird gezeigt, wie Sie die Hashdumps aus einem Image des Arbeitsspeichers auslesen können.

Arbeitsspeicher dumpen: http://www.youtube.com/watch?v=s3SAjYbSZiA
Volatility: https://www.volatilesystems.com/default/volatility

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.



  • Kommentare zum Video

    Benachrichtigung
    avatar
    5000
    Sortiert nach:   neuste | älteste | beste Bewertung
    PetetheSweety
    Zuschauer

    Der Hivelist Befehl bleibt bei mir mit Win7SP1x64 ohne Ergebnis…

    PetetheSweety
    Zuschauer

    Mein Memorydump ist 16 GB groß, das dauert selbst auf der SSD eine gefühlte
    Ewigkeit bis das ausgelesen ist…

    iMenoxs
    Zuschauer

    In meine hash.txt ist irgendwie leer Meine hivelist sieht auch anders aus.
    da sind zwischen …\Machin\System und …\Config\SAM nicht nur
    …\maschin\Hardware Da sind auch noch \Config\Software & \Config\DEFAULT &
    \Config\Security & \serviceprofiles\networkservice\NTuser.dat Mein pc läuft
    auf Win7 SP1

    MicrosoftAnti
    Zuschauer

    ERROR : volatility.addrspace: Invalid profile Win7SP0x64 selected name ist
    korrekt funktioniert nicht …

    CyberRat1337
    Zuschauer

    @SemperVideo Können Sie vielleicht ein video machen wie man die MEMORY.DMP
    auf hardwarefehler untersuchen kan? Einem freund und mir wurde nach upload
    eines bluescreens gesagt das man so das defekte teil ermitteln könnte.
    Währe echt ein tolles geschenk von ihnen. genaue beschreibung des problems
    + bild vom bluescreen hier: gutefrage
    net/frage/pc-absturz-mit-bluescreen–internet-proxy-problem

    mmilerngruppe
    Zuschauer

    für welchen zweck wird dieser hash gebraucht, und was wurde da eigentlich
    gehasht?

    KuroJo
    Zuschauer

    ist dein “Okay” eigentlich Teil des Abspanns oder sagst du das nur aus
    Gewohnheit immer wieder zum Schluss? :)

    We Play Games!
    Zuschauer

    ich weiß zwar überhaupt nicht, was das ist und wozu es gut ist, aber
    trotzdem gucken und liken :D

    ColdHeartedMan86
    Zuschauer

    @RAZ4396 Hash -> ist eigentlich nur eine Prüfsumme, aber wird zum “Einweg”
    verschlüsseln genutzt Dump -> Darstellen von Binärencode in hexdezimalen
    Zahlen (ggf auch wieder Binär oder Dezimal) Da hier Benutzernamen gefolgt
    von Hexadez. Zahlen stehen, werden diese Hashs die verschlüsselten
    passwörter sein. Unter NT sind diese aber nicht einfach MD5 verschlüsselt
    sondern etwas komplizierter (Zeitschlüßel + “versalzt”). Einfach mal
    “Salt_(Kryptologie)” @ wiki lesen.

    wpDiscuz