Forensics: Hashdump aus Memorydump auslesen

FavoriteLoadingVideo merken
Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://youtu.be/0OvnsmWrBoY

In diesem VideoTutorial wird gezeigt, wie Sie die Hashdumps aus einem Image des Arbeitsspeichers auslesen können.

Arbeitsspeicher dumpen: https://youtu.be/s3SAjYbSZiA
Volatility: https://www.volatilesystems.com/default/volatility

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.
SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.

Kommentare zum Video

avatar
5000
  Abonnieren  
neuste älteste beste Bewertung
Benachrichtigung
PetetheSweety
Zuschauer

Der Hivelist Befehl bleibt bei mir mit Win7SP1x64 ohne Ergebnis…

PetetheSweety
Zuschauer

Mein Memorydump ist 16 GB groß, das dauert selbst auf der SSD eine gefühlte
Ewigkeit bis das ausgelesen ist…

iMenoxs
Zuschauer

In meine hash.txt ist irgendwie leer Meine hivelist sieht auch anders aus.
da sind zwischen …\Machin\System und …\Config\SAM nicht nur
…\maschin\Hardware Da sind auch noch \Config\Software & \Config\DEFAULT &
\Config\Security & \serviceprofiles\networkservice\NTuser.dat Mein pc läuft
auf Win7 SP1

MicrosoftAnti
Zuschauer

ERROR : volatility.addrspace: Invalid profile Win7SP0x64 selected name ist
korrekt funktioniert nicht …

CyberRat1337
Zuschauer

@SemperVideo Können Sie vielleicht ein video machen wie man die MEMORY.DMP
auf hardwarefehler untersuchen kan? Einem freund und mir wurde nach upload
eines bluescreens gesagt das man so das defekte teil ermitteln könnte.
Währe echt ein tolles geschenk von ihnen. genaue beschreibung des problems
+ bild vom bluescreen hier: gutefrage
net/frage/pc-absturz-mit-bluescreen–internet-proxy-problem

mmilerngruppe
Zuschauer

für welchen zweck wird dieser hash gebraucht, und was wurde da eigentlich
gehasht?

KuroJo
Zuschauer

ist dein “Okay” eigentlich Teil des Abspanns oder sagst du das nur aus
Gewohnheit immer wieder zum Schluss? :)

We Play Games!
Zuschauer

ich weiß zwar überhaupt nicht, was das ist und wozu es gut ist, aber
trotzdem gucken und liken :D

ColdHeartedMan86
Zuschauer

@RAZ4396 Hash -> ist eigentlich nur eine Prüfsumme, aber wird zum “Einweg”
verschlüsseln genutzt Dump -> Darstellen von Binärencode in hexdezimalen
Zahlen (ggf auch wieder Binär oder Dezimal) Da hier Benutzernamen gefolgt
von Hexadez. Zahlen stehen, werden diese Hashs die verschlüsselten
passwörter sein. Unter NT sind diese aber nicht einfach MD5 verschlüsselt
sondern etwas komplizierter (Zeitschlüßel + “versalzt”). Einfach mal
“Salt_(Kryptologie)” @ wiki lesen.