Forensics: Hashdump aus Memorydump auslesen

In diesem VideoTutorial wird gezeigt, wie Sie die Hashdumps aus einem Image des Arbeitsspeichers auslesen können.

Arbeitsspeicher dumpen: http://www.youtube.com/watch?v=s3SAjYbSZiA
Volatility: https://www.volatilesystems.com/default/volatility

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.
Loading+ Video in die Merkliste



    • Kommentare zum Video

      Benachrichtigung
      avatar
      5000
      Sortiert nach:   neuste | älteste | beste Bewertung
      PetetheSweety
      Zuschauer

      Der Hivelist Befehl bleibt bei mir mit Win7SP1x64 ohne Ergebnis…

      PetetheSweety
      Zuschauer

      Mein Memorydump ist 16 GB groß, das dauert selbst auf der SSD eine gefühlte
      Ewigkeit bis das ausgelesen ist…

      iMenoxs
      Zuschauer

      In meine hash.txt ist irgendwie leer Meine hivelist sieht auch anders aus.
      da sind zwischen …\Machin\System und …\Config\SAM nicht nur
      …\maschin\Hardware Da sind auch noch \Config\Software & \Config\DEFAULT &
      \Config\Security & \serviceprofiles\networkservice\NTuser.dat Mein pc läuft
      auf Win7 SP1

      MicrosoftAnti
      Zuschauer

      ERROR : volatility.addrspace: Invalid profile Win7SP0x64 selected name ist
      korrekt funktioniert nicht …

      CyberRat1337
      Zuschauer

      @SemperVideo Können Sie vielleicht ein video machen wie man die MEMORY.DMP
      auf hardwarefehler untersuchen kan? Einem freund und mir wurde nach upload
      eines bluescreens gesagt das man so das defekte teil ermitteln könnte.
      Währe echt ein tolles geschenk von ihnen. genaue beschreibung des problems
      + bild vom bluescreen hier: gutefrage
      net/frage/pc-absturz-mit-bluescreen–internet-proxy-problem

      mmilerngruppe
      Zuschauer

      für welchen zweck wird dieser hash gebraucht, und was wurde da eigentlich
      gehasht?

      KuroJo
      Zuschauer

      ist dein “Okay” eigentlich Teil des Abspanns oder sagst du das nur aus
      Gewohnheit immer wieder zum Schluss? :)

      We Play Games!
      Zuschauer

      ich weiß zwar überhaupt nicht, was das ist und wozu es gut ist, aber
      trotzdem gucken und liken :D

      ColdHeartedMan86
      Zuschauer

      @RAZ4396 Hash -> ist eigentlich nur eine Prüfsumme, aber wird zum “Einweg”
      verschlüsseln genutzt Dump -> Darstellen von Binärencode in hexdezimalen
      Zahlen (ggf auch wieder Binär oder Dezimal) Da hier Benutzernamen gefolgt
      von Hexadez. Zahlen stehen, werden diese Hashs die verschlüsselten
      passwörter sein. Unter NT sind diese aber nicht einfach MD5 verschlüsselt
      sondern etwas komplizierter (Zeitschlüßel + “versalzt”). Einfach mal
      “Salt_(Kryptologie)” @ wiki lesen.