WinPmem ha sido durante mucho tiempo el compensador de captura de memoria de código despejado en serie para Windows. Solía morar en el esquema Rekall, pero recientemente se ha dividido en su propio repositorio.
descripción
WinPmem es una útil para aprender memoria física con las siguientes funciones:
- Fuente abierta
- Soporte para WinXP – Win 10, x86 + x64. El WDK7600 se puede utilizar para incluir compatibilidad con WinXP. De forma predeterminada, los ejecutables WinPmem proporcionados se compilan con WDK10, que es compatible con Win7 – Win10 y contiene un código más reciente.
- Tres métodos independientes diferentes de hacer un estercolero. Un método siempre debería funcionar, incluso cuando se enfrenta a rootkits en modo kernel.
- Soporte para imágenes de volcado de memoria sin procesar.
- Se utiliza una interfaz de maestro en puesto de escribir la imagen desde el kernel como algunos otros generadores de imágenes. Esto nos permite tener un padre de imágenes de espacio de usufructuario enredado (por ejemplo, copia en la red, hash, etc.), así como realizar disección en el sistema en vivo (por ejemplo, se puede realizar directamente en el dispositivo).
Los archivos de este directorio (incluidas las fuentes de WinPmem y los binarios firmados) están disponibles bajo la subsiguiente abuso: Osadía Apache, Interpretación 2.0.
Cómo utilizar
Hay dos ejecutables de WinPmem: winpmem_mini_x86.exe y winpmem_mini_x64.exe. Ambas versiones contienen uno y otro controladores (versiones de 32 y 64 bits).
El mini en el nombre binario se refiere al hecho de que este padre de imágenes es un padre de imágenes simple: solo puede producir imágenes en formato RAW. En el pasado, lanzamos un padre de imágenes WinPmem basado en AFF4. Sin bloqueo, aún debe actualizarse al nuevo compensador. Háganos entender si necesita el padre de imágenes basado en AFF4.
La útil de captura de Python winpmem.py
El software Python está actualmente en construcción, pero servirá como una demostración de cómo se puede usar el padre de imágenes de Python.
winpmem_mini_x64.exe (archivo ejecutable independiente)
Este software es el más liviana de usar para la respuesta a incidentes porque no requiere ninguna dependencia que no sea el propio ejecutable. El software carga automáticamente el compensador correcto (32 bits o 64 bits) y es autónomo.
Ejemplos:
winpmem_mini_x64.exe physmem.raw
Escribe una imagen sin procesar con el método de adquisición en serie en physmem.raw.
winpmem_mini_x64.exe
Accede a la Breviario de relato rápida / Impresión de uso.
Para capturar una imagen sin procesar usando el método MmMapIoSpace:
winpmem.exe -1 myimage.raw
¡El compensador se descarga automáticamente luego de que se toma la imagen!
Público de escritura positivo
El código fuente de WinPmem admite tanto la escritura en la memoria como la repaso. Esta característica es una gran útil de enseñanza, ya que muchas técnicas de ocultación de rootkits se pueden porfiar escribiendo directamente en la memoria.
¡Esta funcionalidad debe estar de moda con extrema precaución!
NOTA: Legado que esta es una característica suficiente peligrosa, el soporte de escritura está deshabilitado para los controladores binarios firmados. Puede recobrar los controladores para crear binarios firmados de prueba si desea utilizar esta función. Los binarios sin firmar (positivamente autofirmados con un certificado de prueba) no se pueden cargar en un sistema regular porque están autofirmados. Sin bloqueo, puede permitir que los controladores sin firmar se carguen en un sistema de prueba (consulte https: // docs) .microsoft.com / de-de / windows-hardware / drivers / install / the-testsigning-boot-configuration- opción:
Bcdedit.exe -set TESTSIGNING ON
y reiniciar. Aparecerá un pequeño texto «Modo de prueba» en el escritorio para recordarle que este dispositivo está configurado para controladores firmados de prueba.
Encima, el soporte de escritura asimismo debe estar activado al cargar:
winpmem.exe -w -l
Esto carga los controladores y habilita el soporte de escritura.
