一.系统内存获取工具
MoonSols windows内存工具箱.
download:http://www.moonsols.com/
1.支持多种哈希算法.
2.包含服务器组件,可以通过网络获取远程服务器的内存转储.
3.支持\Device\PhysicalMemory等三种内存映射方式.
4.能够将内存转储转换为microsoft崩溃转储文件.方便使用调试器分析.
5.能够将休眠文件转换为内存转储.
6.专业版支持脚本编写,体系结构互换等功能.
具体帮助信息如下:
二.内存转储分析工具
Volatility 2.0 基于python的内存分析工具
Volatility 2.0 内部集成了部分插件模块.内置插件模块功能比较单一.
如果需要使用恶意软件分析中使用的插件,到http://code.google.com/p/malwarecookbook/source/browse/trunk/
下载malware.py存放至插件目录即可.(根据最初的错误提示安装yara和distorm)
download:http://code.google.com/p/volatility/downloads/list
volatility-2.0.standalone.zip是使用pyinstaller编译完整的exe文件.内部包含有python运行时核心组件和Volatility模块.
volatility-2.0.win32.exe安装Volatility至python系统目录.
volatility-2.0.zip建议直接使用源码文件.可支持恶意软件分析中提供的插件模块.
tips:需要系统安装python2.6以上版本.使用加密相关模块需要安装pycrypto模块(需要安装cygwin或者Mingw).
安装Mingw目测是依旧失败,具体错误是无法使用chmod改变一个配置shell脚本的属性.
配置完成后进入Volatility目录使用python vol.py -h可以查看帮助信息和支持的插件列表.
至此,获取内存和分析内存转储的环境已经搭建完毕.