Shutterstock 112692424

MemProcFS - El sistema de archivos de proceso de memoria


El sistema de archivos de proceso de memoria es una manera fácil y conveniente de acceder a la memoria física como archivos de un sistema de archivos virtual. Con esta herramienta es fácil hacer un barrido de memoria y apuntar, hacer clic sin la necesidad de los complicados argumentos de línea de comandos, podremos acceder a cada contenido de memoria y artefactos a través de archivos en un sistema de archivos virtual montado o mediante una biblioteca de aplicaciones con muchas funciones para incluir en sus propios proyectos

 

La herramienta la encontramos en: https://github.com/ufrisk/MemProcFS


Esta herramienta analiza los archivos de volcado de memoria, memoria en vivo a través de DumpIt o WinPMEM, memoria en vivo en modo de lectura y escritura a través de dispositivos PCILeech y PCILeech-FPGA vinculados


Incluso es posible conectarse a un agente de adquisición de memoria LeechAgent remoto a través de una conexión segura, lo que permite una respuesta remota a incidentes de memoria en vivo, ¡incluso en conexiones de latencia más alta y ancho de banda bajo!

 

 

Use sus herramientas favoritas para analizar la memoria: use sus editores hexadecimales favoritos, sus secuencias de comandos de Python y Powershell, WinDbg o sus desensambladores y depuradores favoritos. Todo funcionará con el Sistema de archivos de proceso de memoria simplemente leyendo y escribiendo archivos

 

 

 

 

Incluya el Sistema de archivos de proceso de memoria en sus proyectos de programación Python o C / C ++! ¡Casi todo en el Sistema de archivos de proceso de memoria está expuesto a través de una API fácil de usar para usar en sus propios proyectos! La arquitectura amigable con los complementos permite a los usuarios extender fácilmente el sistema de archivos de proceso de memoria con complementos nativos C .DLL o complementos Python .py, ¡proporcionando capacidades de análisis adicionales

 

Consulte el wiki del proyecto para obtener información más detallada sobre el sistema de archivos, su API y sus módulos de complementos


Consulte el proyecto LeechCore para obtener información sobre los métodos de adquisición de memoria compatibles y el acceso remoto a la memoria a través del servicio LeechService

 

Análisis de memoria rápido y fácil a través del sistema de archivos montado:

 

No importa si no tiene conocimiento previo del análisis de memoria o si es un usuario avanzado, ¡el Sistema de archivos de proceso de memoria (y la API) pueden ser útiles! Haga clic alrededor de los objetos de memoria en el sistema de archivos.

 

 

 

Extensa API de Python y C / C ++:

 

Todo el sistema de archivos de proceso de memoria está expuesto como API. Existen API para C / C ++ vmmdll.h y Python vmmpy.py. El sistema de archivos en sí está disponible virtualmente a través de la API sin la necesidad de montarlo. El análisis de procesos especializados y la funcionalidad de alteración de procesos se facilitan al llamar a la funcionalidad API. ¡Es posible leer tanto la memoria de proceso virtual como la memoria física! El siguiente ejemplo muestra la lectura de 0x20 bytes de la dirección física 0x1000:

 

>>> from vmmpy import * 
>>> VmmPy_Initialize('c:/temp/win10_memdump.raw')
>>> print(VmmPy_UtilFillHexAscii(VmmPy_MemRead(-1, 0x1000, 0x20)))
0000 e9 4d 06 00 01 00 00 00 01 00 00 00 3f 00 18 10 .M..........?...
0010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................


Artículos que te pueden interesar

Mejores webshell para PHP y ASP

Las Webshells son scripts (código que contiene un conjunto de comandos a ejecutar) que se suben malintencionadamente en las páginas webs aprovechando alguna vulnerabilidad, cuya complejidad varía para realizar distintas acciones sobre el servidor que la soporta. Como ejemplo visual se muestra la esta imagen..

Qué es el Owasp A1 - Inyección

La inyección de código es la explotación de un error de la computadora causado por el procesamiento de datos no válidos. El atacante usa la inyección para introducir (o "inyectar") código en un programa informático vulnerable y cambiar el curso de ejecución. Esto puede resultar en la alteración de un comando o la extracción de una base de datos..