Forensics: Prozessliste aus Memorydump auslesen

In diesem VideoTutorial wird gezeigt, wie Sie die Prozessliste aus einem Image des Arbeitsspeichers auslesen können.

Arbeitsspeicher dumpen: https://youtu.be/s3SAjYbSZiA
Volatility: https://www.volatilesystems.com/default/volatility

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.
Loading+ Video in die Merkliste



    • Kommentare zum Video

      avatar
      5000
        Subscribe  
      neuste älteste beste Bewertung
      Benachrichtigung
      69Hypersonic69
      Zuschauer

      Könntet Ihr mal Sophos Virus Removal Tool testen? soll angeblich rootkit
      viren entfernen…

      endevol16
      Zuschauer

      bei mir bleibt das bei “determining profile based on KDBG search…”
      stecken -.- i-wie kommt da nichts mehr und meine *.raw datei von dumpit is
      16gb groß :O is das richtig so=?

      David
      Zuschauer

      So, ich hab jetzt endlich eine x64 fähige Version von Volatility gefunden.
      Ist zwar momentan noch eine Alpha, hat bei mir aber schon tadellos
      funktioniert. Vielleicht mach ich heute Nachmittag noch ein Video darüber.

      xTBshow
      Zuschauer

      also ich versteh nur bahnhof

      Dr. Acula
      Zuschauer

      Alles so klickibunti und dann diese 1337 cmd. Giftgrün auf schwarz, so lob
      ich mir das!

      95beckmann
      Zuschauer

      Ich finde eure Forensic-Serie extrem geil :))

      pimpo900
      Zuschauer

      @blinkblink38 falls ich mich nich irre sollte es der kanon in D sein von
      johann pachelbel

      dshome74
      Zuschauer

      Wenn man nun damit ein Rootkitprozess gefunden hat, wie kann man den
      abschießen(beenden)? Man kann ja nicht alle stellen wo Windows irgendwas
      autostartet durchsuchen. Es gibt ca 1k stellen wo Windows irgend etwas
      autostartet. Ein Teil wird mit Autoruns angezeigt. mit pskill.exe kann man
      Prozesse abschießen, aber die müssen dann sichtbar sein. Vielleicht kann
      man den Prozess mit der PID beenden, die wird ja auch ausgegeben.

      jakob1410
      Zuschauer

      @Wedelfreak |TAB| für die Autovervollständigung in Win 7

      The0Mr0Mo
      Zuschauer

      @Wedelfreak einfach Tab druecken