大規模なダンプを伴う揮発性フォレンジック
今日、ネイティブWindowsプロセスからの「奇妙な」接続が原因で、ある顧客のWindows RDSの.vmemファイルを分析する必要がありました。
抽出された.vmemファイルのサイズは20GBです。 C:\Python27_64\python.exe vol.py -f XXXXXXX-Snapshot184.vmem imageinfoを使用したimageinfoのリクエストは、これまでのところ、移動せずに最大60分かかりました。
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
ボラティリティFAQ によると、ボラティリティで分析されている200GBを超えるmemdumpのレポートさえあります。
大きなmemdumpを分析するためのベストプラクティスは何ですか?
忍耐が美徳であり、メモリに20GBをロードするのに時間がかかる場合があることを考えると、特にバイトを署名について分析する必要がある場合は、次の傾向の解決策またはヒントを探しています。
- ファイル形式XXXは、形式XXXよりも優れたパフォーマンス結果を提供します
- プラグインXXXを実行すると、将来のプラグインの使用が速くなります
- 微調整(非公式、サポートされていない、文書化されていない)
大きなダンプの正しいプロファイルが返されるのをimageinfoが待つのにX日間待っている人を想像することはできません。
rekall を見たことがありますか?
これはボラティリティの分岐点ですが、ボラティリティの方が運が良かったのですが、最初の分析の方が速いかもしれません