Comments 6
Винда разобрана знатно. Из сакрального не вытащен только ключ битлокера (или как там в винде дисковое шифрование называется).
Если не будет сложно, покажите такой же разбор полётов с линуксами.
Если не будет сложно, покажите такой же разбор полётов с линуксами.
У меня большие планы по поводу волатилити :D
Во-первых, закончить райтап тасков (как я писал, я разобрал не все задачи и планирую сделать статью «доразбор»).
Во-вторых, да, я планировал сделать аналогичную статью с линуксом и, возможно, с каким-нибудь маком.
По поводу битлокера — постараюсь придумать что-то интересное и сделать и с ним
Во-первых, закончить райтап тасков (как я писал, я разобрал не все задачи и планирую сделать статью «доразбор»).
Во-вторых, да, я планировал сделать аналогичную статью с линуксом и, возможно, с каким-нибудь маком.
По поводу битлокера — постараюсь придумать что-то интересное и сделать и с ним
Собственно, из всего этого битлокер будет самым грозным. Предполагается, что есть доступ к машине, на которой скринсейвер залочил всё. Можно «разлочить скринсейвер» (но это сложно, т.к. после дампа памяти его обратно не запустить), а можно найти пароль к диску, и тогда можно cold boot и все juicy data на виду.
Любые ключи в памяти очень просто ищутся с помощью aeskeyfind.
Команда uniq работает только на отсортированных последовательностях (как вариант — использовать sort | uniq)
Да, вы правы. И даже по тем кускам, которые я сюда вставил видно, что некоторые строки дублируются. По-хорошему, действительно надо было отсортировать, а только потом выводить уникальные, но в тот момент я не спал уже вторые сутки, а поэтому не задумался об этом. А при написании статьи не перепроверил
Sign up to leave a comment.
Разбор Memory Forensics с OtterCTF и знакомство с фреймворком Volatility