Forensics: Prozessliste aus Memorydump auslesen

In diesem VideoTutorial wird gezeigt, wie Sie die Prozessliste aus einem Image des Arbeitsspeichers auslesen können.

Arbeitsspeicher dumpen: http://www.youtube.com/watch?v=s3SAjYbSZiA
Volatility: https://www.volatilesystems.com/default/volatility

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.



  • Kommentare zum Video

    Benachrichtigung
    avatar
    5000
    Sortiert nach:   neuste | älteste | beste Bewertung
    69Hypersonic69
    Zuschauer

    Könntet Ihr mal Sophos Virus Removal Tool testen? soll angeblich rootkit
    viren entfernen…

    endevol16
    Zuschauer

    bei mir bleibt das bei “determining profile based on KDBG search…”
    stecken -.- i-wie kommt da nichts mehr und meine *.raw datei von dumpit is
    16gb groß :O is das richtig so=?

    David
    Zuschauer

    So, ich hab jetzt endlich eine x64 fähige Version von Volatility gefunden.
    Ist zwar momentan noch eine Alpha, hat bei mir aber schon tadellos
    funktioniert. Vielleicht mach ich heute Nachmittag noch ein Video darüber.

    xTBshow
    Zuschauer

    also ich versteh nur bahnhof

    Dr. Acula
    Zuschauer

    Alles so klickibunti und dann diese 1337 cmd. Giftgrün auf schwarz, so lob
    ich mir das!

    95beckmann
    Zuschauer

    Ich finde eure Forensic-Serie extrem geil :))

    pimpo900
    Zuschauer

    @blinkblink38 falls ich mich nich irre sollte es der kanon in D sein von
    johann pachelbel

    dshome74
    Zuschauer

    Wenn man nun damit ein Rootkitprozess gefunden hat, wie kann man den
    abschießen(beenden)? Man kann ja nicht alle stellen wo Windows irgendwas
    autostartet durchsuchen. Es gibt ca 1k stellen wo Windows irgend etwas
    autostartet. Ein Teil wird mit Autoruns angezeigt. mit pskill.exe kann man
    Prozesse abschießen, aber die müssen dann sichtbar sein. Vielleicht kann
    man den Prozess mit der PID beenden, die wird ja auch ausgegeben.

    jakob1410
    Zuschauer

    @Wedelfreak |TAB| für die Autovervollständigung in Win 7

    The0Mr0Mo
    Zuschauer

    @Wedelfreak einfach Tab druecken

    wpDiscuz